EUROPA-KOMMISSIONEN
Bruxelles, den 23.2.2022
COM(2022) 68 final
2022/0047(COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om harmoniserede regler om fair adgang til og anvendelse af data
(dataforordningen)
(EØS-relevant tekst)
{SEC(2022) 81 final} - {SWD(2022) 34 final} - {SWD(2022) 35 final}
BEGRUNDELSE
1.BAGGRUND FOR FORSLAGET
•Forslagets begrundelse og formål
Denne begrundelse ledsager forslaget til forordning om harmoniserede regler om fair adgang til og anvendelse af data (dataforordningen).
Data er et centralt element i den digitale økonomi og en vigtig ressource med hensyn til at sikre den grønne og den digitale omstilling. Den mængde af data, der genereres af mennesker og maskiner, er steget eksponentielt i de seneste år. De fleste data udnyttes imidlertid ikke, eller deres værdi er samlet hos relativt få store virksomheder. Lav tillid, modstridende økonomiske incitamenter og tekniske hindringer vanskeliggør en fuld udnyttelse af potentialet i datadreven innovation. Det er derfor afgørende, at dette potentiale frigøres ved at skabe muligheder for videreanvendelse af data samt ved at fjerne hindringer for den europæiske dataøkonomis udvikling i overensstemmelse med de europæiske regler og værdier og målet om at mindske den digitale kløft, således at alle kan drage fordel af disse muligheder. En bedre balance i fordelingen af værdi, der hidrører fra data, i takt med den nye bølge af industrielle ikkepersonlige data og udbredelsen af produkter forbundet med tingenes internet vil betyde et enormt potentiale for at kunne fremme en bæredygtig dataøkonomi i Europa.
Regulering af adgangen til og anvendelsen af data er en grundlæggende forudsætning for at kunne udnytte de muligheder, som den digitale tidsalder giver. Kommissionens formand, Ursula von der Leyen, anførte i sine politiske retningslinjer for Kommissionen for 2019-2024, at Europa er nødt til at finde "den rette balance mellem strømmen af data og anvendelsen af disse og samtidig bevare en høj grad af beskyttelse af privatlivets fred, sikkerhed og etiske standarder". Kommissionens arbejdsprogram for 2020 indeholder en række strategiske målsætninger, herunder den europæiske strategi for data, som blev vedtaget i februar 2020. Strategien har til formål at opbygge et ægte indre marked for data og gøre Europa førende på verdensplan inden for den data-agile økonomi. Derfor er dataforordningen en vigtig søjle og det andet store initiativ, der bebudes som led i datastrategien. Forordningen bidrager navnlig til en tværsektoriel forvaltningsramme for adgang til og anvendelse af data ved hjælp af lovgivning vedrørende spørgsmål, der påvirker forholdet mellem aktører i dataøkonomien, med henblik på at skabe incitamenter til horisontal datadeling på tværs af sektorer.
I Det Europæiske Råds konklusioner af 21.-22. oktober 2021 påpegedes vigtigheden af "at gøre hurtige fremskridt med andre nuværende og fremtidige initiativer, særlig udnyttelse af værdien af data i Europa, navnlig gennem en omfattende regelramme, der er befordrende for innovation, fremmer bedre dataportabilitet og fair dataindsigt og sikrer interoperabilitet". Den 25. marts 2021 understregede Det Europæiske Råd betydningen af "en bedre udnyttelse af potentialet i data og digitale teknologier til gavn for samfundet og økonomien". Den 1.-2. oktober 2020 understregede Rådet "behovet for at gøre data af høj kvalitet lettere tilgængelige og fremme og muliggøre en bedre udveksling og pooling af data samt interoperabilitet". Hvad angår cloudtjenester vedtog EU-medlemsstaterne den 15. oktober 2020 enstemmigt en fælles erklæring om opbygning af den næste generation af cloud til virksomheder og den offentlige sektor i EU. Det vil for eksempel kræve en næste generation af cloudtjenester i EU, der opfylder de højeste standarder for portabilitet og interoperabilitet.
Europa-Parlamentet opfordrede i sin beslutning af 25. marts 2021 om en europæisk strategi for data Kommissionen til at fremlægge en dataretsakt for at tilskynde til og muliggøre en større og mere fair dataudveksling i alle sektorer, mellem virksomheder, mellem virksomheder og offentlige myndigheder samt mellem offentlige myndigheder. I sin beslutning af 25. marts 2021 fremhævede Europa-Parlamentet også behovet for at skabe fælles europæiske dataområder med henblik på fri udveksling af ikkepersondata på tværs af grænser og sektorer samt mellem virksomheder, den akademiske verden, relevante interessenter og den offentlige sektor. Ud fra dette perspektiv opfordrede Parlamentet Kommissionen til at præcisere brugsrettighederne, navnlig i en B2B- og B2G-markedskontekst. Parlamentet understregede, at ubalancer på markedet som følge af koncentrationen af data begrænser konkurrencen, øger hindringerne for markedsadgang og mindsker den bredere adgang til og anvendelse af data.
I sin beslutning bemærkede Europa-Parlamentet også, at B2B-kontrakter ikke nødvendigvis garanterer tilstrækkelig adgang til data for små og mellemstore virksomheder (SMV'er). Dette skyldes ulige forhandlingsstyrke eller ekspertise parterne imellem. Europa-Parlamentet understregede derfor nødvendigheden af, at kontrakter klart fastsætter forpligtelser og ansvar i forbindelse med adgang til, behandling, deling og lagring af data for at begrænse misbrug af sådanne data.
Kommissionen og EU-medlemsstaterne blev som sådan opfordret til at undersøge aktørernes rettigheder og forpligtelser med hensyn til at få adgang til data, som de har medvirket til at generere, og til at øge deres bevidsthed, navnlig om retten til at få adgang til data, til at tage dem med sig (portabilitet), til at opfordre en anden part til at ophøre med at bruge dem eller til at rette eller slette dem, samtidig med at indehaverne identificeres, og rettighedernes nærmere karakter afgrænses.
Hvad angår forholdet mellem virksomheder og myndigheder opfordrede Europa-Parlamentet Kommissionen til yderligere at definere de omstændigheder, betingelser og incitamenter, i forbindelse med hvilke den private sektor bør være forpligtet til at stille data til rådighed for den offentlige sektor, f.eks. når datadeling er nødvendig for organiseringen af datadrevne offentlige tjenester, samt også at undersøge obligatoriske B2G-datadelingsordninger i tilfælde af eksempelvis force majeure.
På denne baggrund fremlægger Kommissionen den foreslåede dataforordning med det formål at sikre retfærdighed i fordelingen af værdi, der hidrører fra data, blandt aktører i dataøkonomien og fremme adgangen til og anvendelsen af data.
Forslaget vil bidrage til at nå de bredere politiske mål om, at EU-virksomheder i alle sektorer skal kunne innovere og konkurrere, at enkeltpersoner skal stå stærkere med hensyn til deres data, og at virksomheder og offentlige myndigheder skal være bedre udrustede med en forholdsmæssig og forudsigelig mekanisme til håndtering af større politiske og samfundsmæssige udfordringer, bl.a. offentlige nødsituationer og andre ekstraordinære tilfælde. Virksomheder vil let kunne flytte deres data og andre digitale aktiver mellem konkurrerende udbydere af cloudtjenester og andre databehandlingstjenester. Datadeling inden for og mellem økonomiske sektorer kræver en interoperabilitetsramme for proceduremæssige og lovgivningsmæssige foranstaltninger for at øge tilliden og forbedre effektiviteten. Oprettelsen af fælles europæiske dataområder for strategiske sektorer i økonomien og områder af offentlig interesse vil bidrage til et ægte indre marked for data, hvor det er muligt at dele og anvende data på tværs af sektorer. Denne forordning bidrager derfor til disse forvaltningsrammer og -infrastrukturer samt datadeling uden for dataområder.
Forslagets specifikke mål er skitseret nedenfor.
–Nemmere adgang til og anvendelse af data for forbrugere og virksomheder, samtidig med at incitamenterne til at investere i måder at skabe datadrevet værdi på bevares. Dette omfatter en øget retssikkerhed med hensyn til deling af data, der er opnået fra eller genereret ved brug af produkter eller relaterede tjenester, samt en operationalisering af reglerne for at sikre retfærdige datadelingsaftaler. Forslaget præciserer anvendelsen af relevante rettigheder i henhold til direktiv 96/9/EF om retlig beskyttelse af databaser (databasedirektivet) på dets bestemmelser.
–Sikring af, at offentlige myndigheder og Unionens institutioner, agenturer og organer kan anvende data, som virksomheder er i besiddelse af, i visse tilfælde, hvor der er et ekstraordinært behov. Dette vedrører primært offentlige nødsituationer, men også andre ekstraordinære tilfælde, hvor obligatorisk datadeling mellem virksomheder og offentlige myndigheder er berettiget, med henblik på at støtte evidensbaserede, effektive og resultatorienterede offentlige politikker og tjenester.
–Nemmere flytning mellem cloud- og edgetjenester. Adgangen til konkurrencedygtige og interoperable databehandlingstjenester er en forudsætning for en blomstrende dataøkonomi, hvor data nemt kan deles inden for og på tværs af sektorspecifikke økosystemer. Graden af tillid til databehandlingstjenesterne er afgørende for, om brugerne tager tjenesterne til sig på tværs af økonomiske sektorer.
–Indførelse af sikkerhedsforanstaltninger mod ulovlig dataoverførsel uden underretning fra cloudtjenesteudbyderens side. Dette skyldes, at der er givet udtryk for bekymring over adgangen til data for regeringer uden for EU/Det Europæiske Økonomiske Samarbejdsområde (EØS). Sikkerhedsforanstaltningerne bør yderligere styrke tilliden til de databehandlingstjenester, der i stigende grad understøtter den europæiske dataøkonomi.
–Udarbejdelse af interoperabilitetsstandarder for data, der skal genanvendes på tværs af sektorer, med henblik på at fjerne hindringer for datadeling på tværs af områdespecifikke fælles europæiske dataområder i overensstemmelse med sektorspecifikke interoperabilitetskrav samt deling af andre data, der ikke er omfattet af et specifikt fælles europæisk dataområde. Med forslaget støttes også fastsættelsen af standarder for "intelligente kontrakter". Det er computerprogrammer på elektroniske hovedbøger, som udfører og afvikler transaktioner ud fra på forhånd fastsatte betingelser. De kan give dataindehavere og datamodtagere garanti for, at betingelserne for datadelingen er overholdt.
•Sammenhæng med de gældende regler på samme område
Forslaget er i overensstemmelse med de eksisterende regler om behandling af personoplysninger (herunder den generelle forordning om databeskyttelse ("GDPR")), beskyttelse af privatlivets fred og fortroligheden af kommunikation samt beskyttelse af alle data (personoplysninger og andre oplysninger end personoplysninger), der er lagret i og tilgås fra terminaludstyr (e-databeskyttelsesdirektivet, der skal erstattes af e-databeskyttelsesforordningen, som i øjeblikket er genstand for lovgivningsmæssige forhandlinger). Forslaget supplerer de eksisterende rettigheder, navnlig rettighederne vedrørende data, der er generet af en brugers produkt, der er forbundet med et offentligt tilgængeligt elektronisk kommunikationsnet.
Med forordningen om fri udveksling af andre data end personoplysninger blev en vigtig byggesten i den europæiske dataøkonomi lagt, idet det sikredes, at andre data end personoplysninger kunne lagres, behandles og overføres overalt i Unionen. Forordningen indebar også en selvreguleringstilgang til problemet med "leverandørbinding" for så vidt angår udbydere af databehandlingstjenester, idet der blev indført adfærdskodekser for at gøre det lettere at flytte data mellem cloudtjenester (adfærdskodekser udarbejdet af industrien med henblik på skift mellem cloududbydere og dataportering ("Switching Cloud Providers and Porting Data" — SWIPO)). Dette forslag bygger videre herpå og hjælper virksomheder og borgere med at få mest muligt ud af retten til at skifte cloududbyder og til dataportering. Forslaget er også fuldt ud i overensstemmelse med direktivet om urimelige kontraktvilkår for så vidt angår aftaleret. Da selvreguleringstilgangen med hensyn til cloudtjenester ikke synes at have haft væsentlig indvirkning på markedsdynamikken, indeholder dette forslag en lovgivningsmæssig tilgang til problemet som fremhævet i forordningen om fri udveksling af andre data end personoplysninger.
International databehandling og -lagring og internationale dataoverførsler er omfattet af GDPR, handelsforpligtelser inden for rammerne af Verdenshandelsorganisationen (WTO), den almindelige overenskomst om handel med tjenesteydelser (GATS) og bilaterale handelsaftaler.
Konkurrenceretten finder anvendelse i forbindelse med blandt andet fusionskontrol, datadeling mellem virksomheder eller en virksomheds misbrug af sin dominerende stilling.
Databasedirektivet indeholder bestemmelser om sui generis-beskyttelse af databaser, der er oprettet som følge af en væsentlig investering, selv om selve databasen ikke er en original intellektuel frembringelse, der er beskyttet ved ophavsret. Med udgangspunkt i den betydelige mængde retspraksis, hvori bestemmelserne i databasedirektivet er fortolket, tager dette forslag fat på den aktuelle juridiske usikkerhed om, hvorvidt databaser, der indeholder data, der er genereret ved eller opnået fra brug af produkter eller relaterede tjenester, som f.eks. sensorer, og andre typer maskingenererede data er omfattede af en sådan beskyttelse.
Ved forordningen om platforme og virksomheder er der indført gennemsigtighedsforpligtelser, der pålægger platforme at beskrive de data, der genereres fra leveringen af tjenesten, for erhvervsbrugere.
Ved direktivet om åbne data er der fastsat minimumsregler for videreanvendelse af data, som den offentlige sektor er i besiddelse af, og offentligt finansierede forskningsdata, der gøres offentligt tilgængelige gennem datasamlinger.
Initiativet Et Interoperabelt Europa har til formål at indføre en samarbejdsbaseret interoperabilitetspolitik med henblik på en moderniseret offentlig sektor. Initiativet udsprang af ISA2, et EU-finansieringsprogram, der løb fra 2016 til 2021, og som støttede udviklingen af digitale løsninger med henblik på interoperable offentlige tjenester på tværs af grænser og sektorer.
Dette forslag supplerer den nyligt vedtagne datastyringsforordning, som skal lette enkeltpersoners og virksomheders frivillige deling af data, og som harmoniserer betingelserne for anvendelse af visse data fra den offentlige sektor uden at ændre de materielle rettigheder vedrørende dataene eller erhvervede rettigheder vedrørende adgang til og anvendelse af data. Forslaget supplerer også forslaget til forordning om digitale markeder, hvorved visse udbydere af centrale platformstjenester, der er udpeget som "gatekeepere", blandt andet vil skulle sikre en mere effektiv portabilitet af data, der genereres gennem erhvervs- og slutbrugeres aktiviteter.
Dette forslag berører ikke eksisterende regler på områderne immateriel ejendomsret (undtagen anvendelsen af sui generis-retten i databasedirektivet), konkurrence, retlige og indre anliggender samt beslægtet (internationalt) samarbejde, handelsrelaterede forpligtelser og retlig beskyttelse af forretningshemmeligheder.
Der er behov for lovgivningsmæssige tilpasninger på flere områder for at fremme den digitale omstilling. Der vil blive fastsat klare regler for adgang til specifikke data, der er nødvendige for visse produkters cirkularitet og bæredygtighed i hele deres livscyklus og i ikkeekstraordinære situationer, i forbindelse med det europæiske digitale produktpas (som led i initiativet om bæredygtige produkter). Privatretlige regler er et vigtigt element i den overordnede ramme. Med denne forordning tilpasses aftaleretten og andre regler derfor for at forbedre betingelserne for videreanvendelse af data på det indre marked og for at forhindre, at parter i aftaler udnytter ubalancer i forhandlingsstyrken til skade for svagere parter.
Dataforordningen er et horisontalt forslag og indeholder grundlæggende regler for alle sektorer hvad angår ret til at anvende data, f.eks. inden for intelligente maskiner og forbrugsgoder. Rettighederne og forpligtelserne vedrørende adgang til og anvendelse af data er imidlertid også blevet reguleret i varierende grad på sektorniveau. Med dataforordningen vil der ikke blive ændret på en sådan eksisterende lovgivning, men fremtidig lovgivning på områderne bør i princippet bringes i overensstemmelse med de horisontale principper i dataforordningen. Konvergensen med dataforordningens horisontale regler bør vurderes, når de sektorspecifikke instrumenter skal revideres. Dette forslag giver mulighed for, at der ved vertikal lovgivning kan fastsættes mere detaljerede regler for opnåelsen af sektorspecifikke reguleringsmål.
I betragtning af den eksisterende sektorspecifikke lovgivning vil revisionen af Inspire-direktivet for så vidt angår oprettelsen af dataområdet for den grønne pagt give mulighed for yderligere åben tilrådighedsstillelse og videreanvendelse af geodata og miljødata. Initiativet vil gøre det lettere for offentlige myndigheder, virksomheder og borgere i EU at støtte omstillingen til en grønnere og CO2-neutral økonomi samt mindske den administrative byrde. Det forventes at støtte tjenester for genanvendelige data i stor skala for at bidrage til indsamling, deling, behandling og analyse af store mængder data, som er relevante for at sikre overholdelsen af miljølovgivningen og overensstemmelse med den grønne pagts prioriterede tiltag. Initiativet vil strømline rapporteringen og byrdereduktionen gennem bedre videreanvendelse af eksisterende data samt automatisk generering af rapporter ved hjælp af datamining og business intelligence.
I henhold til EU's elektricitetsforordning skal transmissionssystemoperatører levere data til regulerende myndigheder og med henblik på ressourcetilstrækkelighedsvurdering, mens EU's elektricitetsdirektiv indeholder bestemmelser om gennemsigtig og ikkeforskelsbehandlende adgang til data og giver Kommissionen mandat til at udarbejde relaterede interoperabilitetskrav og -procedurer for at lette en sådan adgang. Andet betalingstjenestedirektiv åbner op for visse typer betalingstransaktionsoplysninger og kontooplysninger på visse betingelser og muliggør datadeling mellem virksomheder inden for fintech. I mobilitets- og transportsektoren findes der en bred vifte af regler for dataadgang og datadeling. Reparations- og vedligeholdelsesoplysninger fra motorkøretøjer og landbrugsmaskiner er underlagt specifikke forpligtelser vedrørende adgang til og deling af data i henhold til typegodkendelseslovgivningen. Der er imidlertid behov for nye regler for at sikre, at den eksisterende lovgivning om typegodkendelse af køretøjer er egnet til den digitale tidsalder og fremmer udviklingen af renere, opkoblede og automatiserede køretøjer. Med udgangspunkt i dataforordningen som en ramme for adgang til og anvendelse af data vil disse regler tage fat på sektorspecifikke udfordringer, herunder adgangen til køretøjers funktioner og ressourcer.
Inden for rammerne af direktivet om intelligente transportsystemer er der blevet udarbejdet en række delegerede forordninger, som der vil blive bygget videre på, navnlig for at præcisere datatilgængeligheden for vejtransport og multimodal passagerbefordring, især gennem nationale adgangspunkter. Inden for lufttrafikstyring er ikkeoperationelle data vigtige for at kunne forbedre intermodaliteten og konnektiviteten. Operationelle data vedrørende lufttrafikstyring vil blive omfattet af den særlige ordning, der er fastlagt inden for rammerne af det fælles europæiske luftrum. Inden for trafikovervågning af skibsfarten er fartøjsrelaterede data (sporing) vigtige for at kunne forbedre intermodaliteten og konnektiviteten; sådanne data falder ind under den særlige ordning, der er fastlagt i VTMIS-direktivet. De falder også ind under Det Digitale Maritime System og Digitale Maritime Tjenesteydelsers ansvarsområde. I forslaget til forordning om etablering af infrastruktur for alternative brændstoffer specificeres de relevante datatyper, der skal stilles til rådighed, i synergi med den overordnede ramme, der er fastlagt i direktivet om intelligente transportsystemer.
•Sammenhæng med Unionens politik på andre områder
Forslaget er i overensstemmelse med Kommissionens prioritet om at gøre Europa klar til den digitale tidsalder og opbygge en fremtidsorienteret økonomi, der tjener alle, og hvor digitaliseringen af det indre marked er kendetegnet ved en høj grad af tillid, sikkerhed og flere valgmuligheder for forbrugerne. Digitaliseringen af det indre marked er yderst konkurrencepræget takket være en ramme, der fremmer gennemsigtighed, konkurrence og innovation, og som er teknologineutral. Den støtter genopretnings- og resiliensfaciliteten, tager ved lære af erfaringerne fra covid-19-pandemien og drager nytte af fordelene ved lettere tilgængelige data, hvor det er nødvendigt.
Forslaget støtter den afgørende rolle, som data spiller med hensyn til at nå målene i den europæiske grønne pagt på forskellige måder. For det første ved at udvide regeringers, virksomheders og enkeltpersoners forståelse af den indvirkning, som produkter, tjenesteydelser og materialer på tværs af hele forsyningskæden har på samfundet og økonomien. For det andet ved at mobilisere det eksisterende væld af relevante data fra den private sektor for at overvinde udfordringer med hensyn til klima, biodiversitet, forurening og naturressourcer i overensstemmelse med målene i den europæiske grønne pagt, de relevante rådskonklusioner og Europa-Parlamentets holdninger. For det tredje ved at udfylde vidensgab og håndtere relaterede kriser ved hjælp af øgede foranstaltninger til afbødning, forberedelse, beredskab og genopretning.
Forslaget omhandler i tråd med industristrategien højstrategiske teknologier såsom cloudcomputing og systemer med kunstig intelligens — områder, hvor EU på tærsklen til den næste industrielle databølge endnu ikke har udnyttet det fulde potentiale. Med forslaget gennemføres datastrategiens mål om, at virksomheder skal kunne innovere og konkurrere på grundlag af EU's værdier, og princippet om frie datastrømme på det indre marked. Forslaget stemmer også overens med handlingsplanen for intellektuel ejendomsret, hvori Kommissionen har påtaget sig at revidere databasedirektivet.
Dette forslag bør også være i overensstemmelse med principperne i handlingsplanen for den europæiske søjle for sociale rettigheder og tilgængelighedskravene i direktiv (EU) 2019/882 om tilgængelighedskrav for produkter og tjenester.
2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET
•Retsgrundlag
Retsgrundlaget for dette forslag er artikel 114 i traktaten om Den Europæiske Unions funktionsmåde, hvis formål er det indre markeds oprettelse og funktion ved at styrke foranstaltningerne til indbyrdes tilnærmelse af de nationale regler.
Formålet med forslaget er at fremme gennemførelsen af et indre marked for data, hvor data fra den offentlige sektor, virksomheder og enkeltpersoner udnyttes bedst muligt, samtidig med at rettighederne vedrørende dataene overholdes, og de investeringer, der foretages for at indsamle dem, respekteres. Bestemmelserne om skift mellem databehandlingstjenester har til formål at skabe retfærdige og konkurrenceprægede markedsvilkår for det indre marked for cloudtjenester, edgetjenester og relaterede tjenester.
Beskyttelsen af fortrolige forretningsoplysninger og forretningshemmeligheder er et vigtigt aspekt af et velfungerende indre marked, ligesom det også er tilfældet i andre sammenhænge, hvor der udveksles tjenesteydelser og handles med varer. Med dette forslag garanteres fortroligheden af forretningshemmeligheder i forbindelse med virksomheder eller forbrugeres anvendelse af data. Initiativet vil gøre det muligt for Unionen at drage fordel af det indre markeds omfang, da produkter og relaterede tjenesteydelser ofte udvikles ved hjælp af data fra forskellige medlemsstater og senere markedsføres i hele Unionen.
Nogle medlemsstater har truffet lovgivningsmæssige foranstaltninger for at løse de ovenfor beskrevne problemer i B2B- og B2G-scenarier, mens andre ikke har. Det kan føre til lovgivningsmæssig fragmentering på det indre marked, forskellige regler og praksis på tværs af Unionen og dertil forbundne omkostninger for virksomheder, som vil skulle overholde forskellige ordninger. Det er derfor vigtigt, at de foreslåede foranstaltninger anvendes konsekvent i alle medlemsstater.
•Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)
I betragtning af den grænseoverskridende karakter af anvendelsen af data og de mange områder, som dataforordningen har indvirkning på, kan de spørgsmål, som dette forslag omhandler, ikke behandles effektivt på nationalt niveau. Fragmentering som følge af forskelle mellem nationale regler bør undgås, da det vil føre til højere transaktionsomkostninger, manglende gennemsigtighed, retsusikkerhed og uønsket forumshopping. Dette er særlig vigtigt at undgå i alle tilfælde, der vedrører dataaspekter i relationer mellem virksomheder, herunder rimelige aftalevilkår og forpligtelser for producenter af IoT-produkter eller relaterede tjenester — aspekter, der kræver en ensartet ramme i hele Unionen.
En vurdering af de grænseoverskridende aspekter af datastrømmene inden for datadeling mellem virksomheder og myndigheder viser også et behov for handling på EU-plan. Mange af de private aktører, der er i besiddelse af relevante data, er multinationale virksomheder. Disse virksomheder bør ikke stilles over for en fragmenteret retlig ordning.
Cloudcomputingtjenester udbydes sjældent i kun én medlemsstat. I overensstemmelse med GDPR og forordningen om fri udveksling af andre data end personoplysninger, som gør det muligt for forbrugere og virksomheder at behandle personoplysninger og andre data end personoplysninger overalt i Unionen, er grænseoverskridende behandling af data i Unionen afgørende for at kunne drive forretning på det indre marked. Det er derfor afgørende, at bestemmelserne om skift mellem databehandlingstjenester anvendes på EU-plan, så en skadelig fragmentering på et ellers ensartet marked for databehandlingstjenester undgås.
Kun ved en fælles indsats på EU-plan er det muligt at nå de mål, der er fastsat i dette forslag, bl.a. at sikre innovative og konkurrenceprægede lige vilkår for datadrevne virksomheder samt at styrke borgernes indflydelse. Den fælles indsats er et sikkert skridt mod realiseringen af visionen om et ægte indre marked for data.
•Proportionalitetsprincippet
Dette forslag afvejer de berørte interessenters rettigheder og interesser med det overordnede mål om at fremme en bredere anvendelse af data for en bred vifte af aktører. Forslaget skaber en befordrende ramme, der ikke går ud over, hvad der er nødvendigt for at nå målene. Det tager fat på eksisterende hindringer for en bedre udnyttelse af den potentielle værdi af data blandt virksomheder, forbrugere og den offentlige sektor. Ligeledes fastlægger det en ramme for fremtidige sektorspecifikke regler for at undgå fragmentering og retsusikkerhed. Forslaget præciserer eksisterende rettigheder og tilvejebringer i de tilfælde, hvor det er nødvendigt, dataadgangsrettigheder og bidrager dermed til at udvikle et indre marked for datadeling. Initiativet tillader en betydelig grad af fleksibilitet med hensyn til anvendelsen på sektorspecifikt niveau.
Dette forslag vil medføre finansielle og administrative omkostninger. De skal afholdes hovedsagelig af nationale myndigheder, producenter og tjenesteudbydere, så de opfylder de forpligtelser, der er fastsat i denne forordning. Udforskningen af forskellige løsningsmuligheder og deres forventede omkostninger og fordele har imidlertid ført til en afbalanceret udformning af instrumentet. Ligeledes vil omkostningerne for databrugere og dataindehavere blive opvejet af den værdi, der vil blive opnået ved en bredere adgang til og anvendelse af data samt udbredelsen af nye tjenesteydelser.
•Valg af retsakt
Valget af en forordning blev truffet, fordi det er den mekanisme, der bedst tjener de bredere politiske mål om, at alle virksomheder i Unionen skal kunne innovere og konkurrere, at forbrugerne skal have bedre kontrol over deres data, og at Unionens institutioner, agenturer og organer skal være bedre udrustede til at imødegå store politiske udfordringer, herunder offentlige nødsituationer. I betragtning af det mål om omfattende harmonisering, som forfølges med forslaget, er en forordning nødvendig for at skabe retssikkerhed og gennemsigtighed for de økonomiske aktører, herunder mikrovirksomheder og SMV'er, og for at give juridiske og fysiske personer i alle medlemsstater de samme rettigheder og forpligtelser, der kan håndhæves juridisk, samt for at sikre en ensartet håndhævelse i alle medlemsstater og et effektivt samarbejde mellem kompetente myndigheder i forskellige medlemsstater.
Med forslaget styrkes det indre marked for data, idet retssikkerheden øges, og en ensartet, horisontal og sammenhængende retlig ramme garanteres.
3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER
•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Forslaget bygger delvis på den seneste evaluering af databasedirektivet og Kommissionens undersøgelse til støtte for revisionen af direktivet. Ved databasedirektivet blev der blandt andet indført en særlig sui generis-ret til beskyttelse af databaser, hvis databaseproducenten i væsentlig grad har investeret i indsamlingen, kontrollen og præsentationen af dataene. Direktivet er blevet evalueret to gange, siden det blev vedtaget. Begge evalueringer blev suppleret med Kommissionsmeddelelser om politikken for dataøkonomien.
Den Europæiske Unions Domstol har skærpet forståelsen af væsentlige investeringer i en database og præciseret, at sui generis-retten har til formål at beskytte investeringerne i indsamlingen og ikke genereringen af data som et biprodukt af en anden økonomisk aktivitet. Der er imidlertid fortsat usikkerhed for så vidt angår utilsigtet anvendelse af sui generis-retten på databaser, der indeholder maskingenererede data, dvs. data, der er opnået fra eller genereret ved brug af produkter eller relaterede tjenester. Der er behov for at afveje de politiske mål om beskyttelse af immateriel ejendom for sådanne databaser i en dataøkonomi, hvor eneret til data som et ikkerivaliserende gode generelt betragtes som en hindring for innovation. For at sikre overensstemmelse med de lovgivningsmæssige indgreb, der foreslås i dette forslag, omhandler indgrebet vedrørende sui generis-retten specifikt den afgrænsede, problematiske anvendelse af sui generis-retten i forbindelse med tingenes internet. Kommissionen er også i færd med at forberede en evaluering af forordning (EU) 2018/1807, som forventes foretaget i november 2022. De første rapporter fra de eksterne kontrahenter har vist, at SWIPO-adfærdskodekserne har en begrænset virkning på cloudflytninger.
•Høringer af interesserede parter
Under den forrige Kommissions mandat blev der indledt et omfattende arbejde med at kortlægge de problemer, der forhindrer Unionen i at udnytte det fulde potentiale i datadreven innovation i økonomien. Forslaget bygger på tidligere høringstiltag såsom den offentlige høring i 2017 til støtte for Kommissionens meddelelse "Opbygning af en europæisk dataøkonomi", den offentlige høring i 2017 som led i evalueringen af databasedirektivet, den offentlige høring i 2018 om revisionen af direktivet om videreanvendelse af den offentlige sektors informationer, SMV-panelhøringen i 2018 om principper og retningslinjer for udveksling af data mellem virksomheder og Kommissionens onlinehøring om datastrategien fra februar til maj 2020.
En indledende konsekvensanalyse blev offentliggjort på portalen for bedre regulering den 28. maj 2021, og det var muligt at komme med feedback i fire uger. Kommissionen modtog 91 bidrag på portalen for bedre regulering, hovedsagelig fra virksomheder.
En offentlig onlinehøring om dataforordningen blev efterfølgende offentliggjort den 3. juni 2021. Den blev afsluttet den 3. september 2021. Høringen omhandlede emner, der er omfattet af initiativet, med relevante afsnit og spørgsmål. Den var rettet mod alle typer interessenter, og formålet var at indhente input om datadeling, adgang til og anvendelse af data mellem virksomheder og mellem virksomheder og myndigheder, forbrugerindflydelse og dataportabilitet samt den rolle, som tekniske foranstaltninger såsom intelligente kontrakter, brugernes mulighed for at skifte mellem cloudtjenester, immaterielle ejendomsrettigheder (dvs. beskyttelse af databaser) og garantier for andre data end personoplysninger spiller i international sammenhæng. Efter at have foretaget en dybdegående analyse af svarene offentliggjorde Kommissionen en sammenfattende rapport på sit websted.
Der blev modtaget i alt 449 bidrag fra 32 lande. Erhvervsmæssige enheder tegnede sig for det største antal bidrag og omfattede 122 erhvervssammenslutninger og 105 virksomheder/erhvervsorganisationer. Yderligere 100 respondenter var offentlige myndigheder, og 58 var enkeltpersoner. Generelt bekræftede svarene, at der er en lang række hindringer for effektiv datadeling i alle typer dataforbindelser.
På trods af at datadeling mellem virksomheder er almindelig praksis, påpegede de respondenter, der havde oplevet vanskeligheder, hindringer på området, f.eks. tekniske hindringer (formater og mangel på standarder — 69 %), direkte afslag på adgang, der ikke er forbundet med konkurrenceproblemer (55 %), eller misbrug af aftalemæssige skævheder (44 %). Hvad angår aftaleretlige spørgsmål var næsten halvdelen af respondenterne for at indføre en urimelighedsprøve (46 %) — mere end dobbelt så mange som dem, der var imod (21 %). Blandt SMV'er var der stærk støtte (50 %) til en urimelighedsprøve, og et betydeligt antal store virksomheder var også for en sådan prøve (41 %). Tilsvarende udviste 46 % af interessenterne på tværs af sektorer støtte til generelle adgangsregler baseret på fair, rimelige og ikkediskriminerende vilkår (46 %). 60 % af respondenterne, navnlig SMV'er og mikrovirksomheder (78 %), var enige i, at en model for aftalevilkår ville kunne bidrage til øget datadeling. 70 % af interessenterne gav udtryk for, at der er et retfærdighedsproblem med hensyn til data, der genereres i forbindelse med tingenes internet, og at producenterne af forbundne produkter og relaterede tjenester ikke bør være i stand til ensidigt at afgøre, hvad der skal ske med de data, der genereres af sådanne produkter. 79 % af respondenterne mente, at intelligente kontrakter kunne være et effektivt redskab til teknisk gennemførelse af adgang og anvendelse for så vidt angår samgenererede IoT-data.
Retsusikkerhed og hindringer, negative kommercielle incitamenter og mangel på passende infrastruktur var blandt de vigtigste faktorer, som respondenterne fremhævede som hindringer for datadeling mellem virksomheder og myndigheder. Næsten alle offentlige myndigheder mente, at der var behov for en indsats (på EU-plan eller nationalt plan) vedrørende datadeling mellem virksomheder og myndigheder, mod 80 % af de akademiske institutioner/forskningsinstitutionerne og 38 % af virksomhederne/erhvervsorganisationerne/erhvervssammenslutningerne. Et klart flertal af interessenterne (navnlig borgere og offentlige forvaltninger) gav også udtryk for, at datadeling mellem virksomheder og myndigheder burde være obligatorisk med klare sikkerhedsforanstaltninger for specifikke brugstilfælde af klar offentlig interesse og nødsituationer samt med henblik på krisehåndtering, officielle statistikker, miljøbeskyttelse og et sundere samfund generelt.
Respondenterne bekræftede også, at en ret til at skifte mellem cloudcomputingtjenester for erhvervsbrugere ville være nyttig. Med hensyn til sikkerhedsforanstaltninger for andre data end personoplysninger i internationale sammenhænge opfattede 76 % af respondenterne udenlandske myndigheders potentielle adgang til data på grundlag af udenlandsk lovgivning som en risiko for deres organisation, og 19 % angav, at det udgjorde en stor risiko.
•Indhentning og brug af ekspertbistand
Forslaget understøttes af flere undersøgelser, workshopper og andre input fra eksperter:
–Undersøgelse til støtte for konsekvensanalysen om øget anvendelse af data i Europa, herunder samtaler med udvalgte interessenter. Dette omfattede to tværsektorielle workshopper om B2B- og B2G-datadeling samt en afsluttende valideringsworkshop, der blev afholdt i foråret 2021.
–Undersøgelse vedrørende en model for aftalevilkår, kontrol af rimeligheden i forbindelse med datadeling og cloudkontrakter samt dataadgangsrettigheder, hvor navnlig retfærdighedsaspekter i forbindelse med datadeling mellem virksomheder blev vurderet, og som omfattede målrettede samtaler med interessenter og en valideringsworkshop.
–Undersøgelse af økonomiske tab som følge af urimelige og ubalancerede vilkår i cloudcomputingkontrakter. Dette omfattede en onlineundersøgelse af et udvalg af SMV'er og opstartsvirksomheder, der bruger cloudcomputing til at drive deres virksomhed.
–Undersøgelse af skift af cloudtjenesteudbydere, herunder en tværsektoriel workshop i andet kvartal af 2017.
–Undersøgelse til støtte for revisionen af databasedirektivet, herunder samtaler med udvalgte interessenter. Denne undersøgelse har bidraget til Kommissionens udarbejdelse af den konsekvensanalyse, der ledsager revisionen af databasedirektivet, samt i forbindelse med dataforordningen og opnåelsen af de to retsakters indbyrdes forbundne mål.
–Metodologisk støtte til konsekvensanalysen af anvendelse af privatejede data til officielle statistikker. Dette arbejde gav input til vurderingen af virkningen af B2G-videreanvendelse af data til officielle statistikker ved at udarbejde en metodisk tilgang og beskrive fordelene og omkostningerne ved videreanvendelse af data og udvalgte brugstilfælde for forskellige statistiske områder og forskellige typer data fra den private sektor. Desuden har det bidraget til den igangværende forskning og de aktuelle drøftelser med henblik på en bedre forståelse af B2G-datadeling.
–Webinarer om persondataplatforme og industrielle dataplatforme. Der blev afholdt tre webinarer den 6., 7. og 8. maj 2020. De samlede de relevante dataplatformsprojekter i porteføljen offentligt-private partnerskaber med stor big data-værdi.
–Rapport fra ekspertgruppe på højt niveau om datadeling mellem virksomheder og myndigheder. Denne rapport indeholdt en analyse af problemerne i forbindelse med datadeling mellem virksomheder og myndigheder i Unionen og fremsatte en række anbefalinger med henblik på at sikre skalerbar, ansvarlig og bæredygtig datadeling mellem virksomheder og myndigheder i offentlighedens interesse. Ud over anbefalingen til Kommissionen om at undersøge muligheden for en retlig ramme på området fremlagdes der i rapporten flere måder, hvorpå private virksomheder kunne tilskyndes til at dele deres data. Det omfattede monetære og ikkemonetære incitamenter, f.eks. skatteincitamenter, investering af offentlige midler til at støtte udviklingen af pålidelige tekniske værktøjer og anerkendelsesordninger for datadeling.
–Workshop om mærkning/certificering af udbydere af tekniske løsninger til dataudveksling. Omkring hundrede deltagere fra erhvervslivet (herunder SMV'er), europæiske institutioner og den akademiske verden deltog i webinaret den 12. maj 2020. Formålet var at undersøge, om en mærknings- eller certificeringsordning kunne fremme udbredelsen af dataformidlere blandt virksomheder ved at øge tilliden til dataøkosystemet.
–Ti workshopper, der blev afholdt mellem juli og november 2019, og som involverede mere end 300 interessenter og omfattede flere sektorer. På workshopperne blev det drøftet, hvordan tilrettelæggelsen af datadeling på visse områder såsom miljø, landbrug, energi og sundhedspleje kan være til gavn for samfundet som helhed og hjælpe offentlige aktører med at udforme bedre politik og forbedre offentlige tjenester samt private aktører med at producere tjenester, der bidrager til at imødegå samfundsmæssige udfordringer.
–Høring af SMV-panel. Panelhøringen blev afholdt fra oktober 2018 til januar 2019 for at indhente SMV'ers holdninger til Kommissionens principper og retningslinjer for udveksling af data mellem virksomheder, som blev offentliggjort i meddelelsen "Om et fælles europæisk dataområde" og i det ledsagende arbejdsdokumentet fra Kommissionens tjenestegrene af 25. april 2018.
–Den seneste Eurobarometer-undersøgelse om digitaliseringens indvirkning. Denne generelle undersøgelse af europæernes dagligdag omfattede spørgsmål om borgernes kontrol over og deling af personoplysninger. Den blev offentliggjort den 5. marts 2020 og indeholder oplysninger om de europæiske borgeres villighed til at dele deres personoplysninger, herunder på hvilke betingelser.
–Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om den europæiske strategi for data. Den 16. juni 2020 vedtog EDPS udtalelse 3/2020 om den europæiske strategi for data. EDPS hilste strategien velkommen og betragter gennemførelsen af den som en mulighed for at vise et eksempel på en alternativ dataøkonomisk model.
•Konsekvensanalyse
Forslaget ledsages af en konsekvensanalyse, der blev forelagt Udvalget for Forskriftskontrol den 29. september 2021 og den 13. december 2021. Den 21. januar 2022 afgav Udvalget en positiv udtalelse med forbehold.
•Målrettet regulering og forenkling
Som følge af præciseringen af, at sui generis-retten i henhold til databasedirektivet (direktiv 96/9/EF) ikke finder anvendelse på databaser, der indeholder data genereret eller opnået ved brug af produkter eller relaterede tjenester, sikres det med forslaget, at sui generis-retten ikke griber ind i virksomheders og forbrugeres ret til at få adgang til og anvende data samt til at dele data i henhold til denne forordning. Præciseringen vil bringe anvendelsen af sui generis-retten i overensstemmelse med formålet med det lovgivningsmæssige forslag og have en positiv indvirkning på den ensartede anvendelse af reglerne på det indre marked og i dataøkonomien.
Idet det gøres lettere at få adgang til og anvende data bør byrderne blive mindsket med dataforordningen, både i den offentlige sektor og blandt virksomheder, hovedsagelig som følge af lavere transaktionsomkostninger og effektivitetsgevinster. Inden for rammerne af "én ind, én ud-tilgangen", som skal minimere byrden for borgere og virksomheder i forbindelse med konsekvenserne af og omkostningerne ved lovgivningens anvendelse, indikerer dataforordningens anslåede administrative nettobyrde baseret på konsekvensanalysen fordele, der sandsynligvis ikke blot vil udligne, men i høj grad opveje, de dermed forbundne administrative omkostninger.
•Grundlæggende rettigheder
Forslaget er i overensstemmelse med EU-lovgivningen om beskyttelse af personoplysninger og privatlivets fred i kommunikation og terminaludstyr og indeholder yderligere sikkerhedsforanstaltninger vedrørende adgang til personoplysninger og tilfælde, der er omfattet af immaterielle ejendomsrettigheder.
I kapitel II styrkes et højt forbrugerbeskyttelsesniveau med den nye ret til at få adgang til brugergenererede data i tilfælde, der ikke tidligere var omfattet af EU-retten. Retten til at bruge og disponere over lovligt erhvervet ejendom styrkes med en ret til at få adgang til data, der er genereret ved brug af en IoT-genstand. På denne måde kan ejeren nyde godt af en bedre brugeroplevelse og et større udvalg af f.eks. reparations- og vedligeholdelsestjenester. Med hensyn til forbrugerbeskyttelse kræver børns rettigheder som sårbare forbrugere særlig opmærksomhed, og reglerne i dataforordningen vil bidrage til at skabe klarhed om adgang til og anvendelse af data.
Tredjeparters ret til at få adgang til IoT-data efter anmodning fra brugeren begrænser friheden til at oprette og drive egen virksomhed og aftalefriheden for producenten eller designeren af et produkt eller en relateret tjeneste. Begrænsningen er berettiget for at styrke forbrugerbeskyttelsen, navnlig for at fremme forbrugerens økonomiske interesser. Producenten eller designeren af et produkt eller en relateret tjeneste har typisk enekontrol over anvendelsen af data, der er genereret ved brug af et produkt eller en relateret tjeneste, og det bidrager til bindinger og hæmmer markedsadgangen for aktører, der tilbyder eftersalgsservice. Retten til at få adgang til IoT-data afhjælper denne situation, idet forbrugere, der bruger produkter eller relaterede tjenester, gives yderligere mulighed for at få kontrol over, hvordan de data, der er genereret ved deres brug af produktet eller den relaterede tjeneste, anvendes, og idet flere markedsaktører får mulighed for at innovere. Forbrugerne kan derfor drage fordel af et større udvalg af eftersalgsservice såsom reparation og vedligeholdelse og er ikke længere afhængige af producentens tjenesteydelser. Med forslaget gøres det lettere at flytte brugerens data til tredjeparter, og dermed muliggøres et konkurrencepræget udbud af eftersalgsservice samt bredere databaseret innovation og udvikling af produkter og tjenester, der ikke er forbundet med de produkter eller tjenester, som brugeren oprindeligt købte eller abonnerer på.
Begrænsningen af producentens eller designerens frihed til at indgå aftaler og oprette og drive egen virksomhed står i et rimeligt forhold til formålet og afbødes af producentens eller designerens uberørte mulighed for også at anvende data, for så vidt dette er i overensstemmelse med den gældende lovgivning og aftalen med brugeren. Desuden vil producenten eller designeren også have ret til at kræve godtgørelse for tredjeparters adgang. Adgangsretten berører ikke registreredes eksisterende adgangs- og portabilitetsret i henhold til GDPR. Yderligere sikkerhedsforanstaltninger sikrer, at tredjeparters anvendelse af data står i et rimeligt forhold til formålet.
Kapitel IV omhandler et retfærdigt og effektivt system til beskyttelse mod urimelige aftalevilkår i forbindelse med datadeling, som vil gøre det lettere for mikrovirksomheder og SMV'er at drive virksomhed. Bestemmelsen begrænser i mindre omfang de omfattede virksomheders aftalefrihed, da den kun finder anvendelse på urimelige aftalevilkår vedrørende adgang til og anvendelse af data, som en aftalepart ensidigt har påtvunget en mikrovirksomhed eller en SMV. Dette er berettiget, da SMV'er typisk befinder sig i en svagere forhandlingsposition og ofte ikke har andet valg end at acceptere aftalevilkår om "alt eller intet". Aftalefriheden berøres i vidt omfang ikke, da kun yderligtgående og urimelige vilkår ugyldiggøres, og den indgåede aftale så vidt muligt forbliver gyldig uden de urimelige vilkår. Desuden kan parterne stadig individuelt forhandle et bestemt aftalevilkår.
Kapitel V indeholder bestemmelser vedrørende datadeling mellem virksomheder og myndigheder baseret på et ekstraordinært behov, som vil øge de offentlige myndigheders evne til at træffe foranstaltninger til gavn for almenvellet, f.eks. for at reagere på, forebygge eller bistå med genopretningen efter en offentlig nødsituation. Den private sektor vil også drage fordel af strømliningen af procedurerne for dataanmodninger.
Kapitel VI indeholder bestemmelser om skift af databehandlingsudbyder, som styrker erhvervskunders position og beskytter deres mulighed for at skifte leverandør. Begrænsningen af databehandlingsudbyderes ret til at oprette og drive egen virksomhed er berettiget, da de nye regler omhandler bindingsvirkninger på cloud- og edgemarkedet og styrker erhvervsbrugeres og enkeltpersoners valgfrihed med hensyn til databehandlingstjenester.
I kapitel X præciseres det, at indgrebet i databasedirektivets sui generis-ret ikke begrænser samme direktivs beskyttelse af immateriel ejendom. Snarere bidrager det til retssikkerheden i de tilfælde, hvor beskyttelsen af sui generis-retten tidligere var uklar.
4.VIRKNINGER FOR BUDGETTET
Forslaget har ingen budgetmæssige konsekvenser.
5.ANDRE FORHOLD
•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering
På sektor- og makroøkonomisk plan vil den igangværende overvågningsundersøgelse af datamarkedet bidrage til at følge det nuværende forslags økonomiske indvirkning på væksten på datamarkedet i Unionen.
Konsekvenserne for SMV'er, navnlig deres opfattelse af problemerne i forbindelse med adgang til og anvendelse af data, vil blive vurderet ved hjælp af en SMV-panelhøring fem år efter vedtagelsen af dataforordningen.
I betragtning af den centrale rolle, som de fælles europæiske dataområder spiller i gennemførelsen af den europæiske datastrategi, vil mange af dette initiativs virkninger blive overvåget på sektorspecifik dataområdeplan, og Støttecenteret for Dataområder, som skal finansieres inden for rammerne af programmet for et digitalt Europa, vil indsamle viden. Det regelmæssige samspil mellem Kommissionens tjenestegrene, Støttecentret og Det Europæiske Datainnovationsråd (som skal oprettes efter datastyringsforordningens ikrafttræden) bør tjene som en pålidelig informationskilde til vurdering af fremskridtene.
Endelig vil der blive iværksat en evaluering fire år efter vedtagelsen af dataforordningen for at evaluere initiativet og forberede yderligere tiltag efter behov.
•Nærmere redegørelse for de enkelte bestemmelser i forslaget
I kapitel I beskrives forordningens genstand og anvendelsesområde, og de definitioner, der anvendes i instrumentet, fastsættes.
Kapitel II omhandler en forøgelse af retssikkerheden for forbrugere og virksomheder med hensyn til adgang til data, der genereres af de produkter eller relaterede tjenester, de ejer, lejer eller leaser. Producenter og designere skal udforme produkterne på en måde, der gør dataene let tilgængelige som standard, og de skal være gennemsigtige med hensyn til, hvilke data der er tilgængelige, og hvordan der opnås adgang til dem. Bestemmelserne i kapitlet berører ikke producenternes mulighed for at få adgang til og anvende data fra produkter og relaterede tjenester, som de udbyder, hvis dette er aftalt med brugeren. Dataindehaveren er forpligtet til at stille sådanne data til rådighed for tredjepart efter anmodning fra brugeren. Brugerne vil have ret til at give dataindehaveren tilladelse til at give tredjepartstjenesteudbydere såsom udbydere af eftersalgsservice, adgang til dataene. Mikrovirksomheder og SMV'er vil være undtaget fra disse forpligtelser.
I kapitel III fastsættes generelle regler om forpligtelse til at stille data til rådighed. I de tilfælde, hvor en dataindehaver er forpligtet til at stille data til rådighed for en datamodtager som omhandlet i kapitel II eller anden EU-lovgivning eller national lovgivning, omhandler den generelle ramme de betingelser, hvorunder dataene skal stilles til rådighed, og godtgørelsen for tilrådighedsstillelsen. Alle betingelser skal være rimelige og ikkediskriminerende, og enhver godtgørelse skal være rimelig, uden at det forhindrer udelukkelse af godtgørelse eller en fastsættelse af en lavere godtgørelse for at stille data til rådighed ved anden EU-lovgivning eller national lovgivning til gennemførelse af EU-retten. Enhver godtgørelse til SMV'er må ikke overstige de omkostninger, der er forbundet med at stille dataene til rådighed, medmindre andet er fastsat i sektorlovgivningen. Tvistbilæggelsesorganer, der er certificeret af medlemsstaterne, kan bistå de parter, der er uenige om en godtgørelse eller betingelserne, i at nå til enighed.
Kapitel IV omhandler urimelige vilkår i aftaler om datadeling mellem virksomheder i tilfælde, hvor en part ensidigt påtvinger en mikrovirksomhed eller en SMV et aftalevilkår. Med dette kapitel sikres det, at kontraktlige aftaler om adgang til og anvendelse af data ikke udnytter ubalancer i forhandlingspositionen mellem aftaleparterne. Urimelighedsprøven omfatter som instrument en almindelig bestemmelse, hvorved det fastsættes, hvad urimelighed i forbindelse med et aftalevilkår vedrørende datadeling består i, suppleret med en liste over klausuler, der enten altid er urimelige eller formodes at være urimelige. I tilfælde med ulige forhandlingsposition beskytter prøven den svageste aftalepart med henblik på at undgå urimelige aftaler. En sådan uretfærdighed hindrer nemlig begge aftaleparters anvendelse af data. Derfor sikrer bestemmelserne en mere retfærdig fordeling af værdien i dataøkonomien. En model for aftalevilkår, som anbefales af Kommissionen, kan hjælpe handelsparterne med at indgå kontrakter på rimelige vilkår.
Kapitel V vedrører fastlæggelsen af en harmoniseret ramme for offentlige myndigheders og Unionens institutioners, agenturers og organers anvendelse af data, som virksomheder er i besiddelse af, i tilfælde, hvor der er et ekstraordinært behov for dataene. Rammen bygger på en forpligtelse til at stille data til rådighed og vil kun finde anvendelse i tilfælde af offentlige nødsituationer eller i situationer, hvor offentlige myndigheder har et ekstraordinært behov for at anvende visse data, men disse data ikke må indhentes på markedet, på sigt ved vedtagelse af ny lovgivning eller ved hjælp af eksisterende rapporteringsforpligtelser. Hvis der opstår et ekstraordinært behov for at reagere på en offentlig nødsituation, f.eks. folkesundhedsmæssige kriser eller større naturkatastrofer eller menneskeskabte katastrofer, vil dataene blive stillet gratis til rådighed. I andre tilfælde, hvor der er et ekstraordinært behov, herunder for at forhindre en offentlig nødsituation eller lette genopretningen efter en sådan, bør den dataindehaver, der stiller dataene til rådighed, have ret til en godtgørelse, som omfatter omkostningerne forbundet med tilrådighedsstillelsen af de relevante data plus en rimelig margen. For at sikre, at retten til at anmode om data ikke misbruges, og at den offentlige sektor forbliver ansvarlig for anvendelsen af dataene, skal dataanmodningerne være forholdsmæssige, klart angive formålet og respektere interesserne hos den virksomhed, der stiller dataene til rådighed. De kompetente myndigheder vil sikre, at alle anmodninger er gennemskuelige og offentligt tilgængelige. De vil også behandle eventuelle klager.
Kapitel VI omhandler indførelsen af reguleringsmæssige minimumskrav af aftalemæssig, kommerciel og teknisk karakter, som pålægges udbydere af cloud-, edge- og andre databehandlingstjenester, for at gøre det muligt at skifte mellem sådanne tjenester. Med forslaget sikres det navnlig, at kunderne bevarer den funktionelle ækvivalens (et minimum af funktionalitet) i tjenesten, efter at de har skiftet til en anden tjenesteudbyder. Forslaget indeholder en undtagelse i tilfælde af teknisk umulighed, men bevisbyrden i denne henseende påhviler tjenesteudbyderen. Forslaget indeholder ikke krav om specifikke tekniske standarder eller grænseflader. Dog kræves det, at tjenesterne er kompatible med europæiske standarder eller åbne tekniske interoperabilitetsspecifikationer, hvis sådanne forefindes.
Kapitel VII omhandler tredjeparters ulovlige adgang til andre data end personoplysninger i Unionen ved hjælp af databehandlingstjenester, der udbydes på EU-markedet. Forslaget berører hverken retsgrundlaget for anmodninger om adgang til data, som EU-borgere eller -virksomheder er i besiddelse af, eller Unionens ramme for databeskyttelse og beskyttelse af privatlivets fred. Det indeholder specifikke sikkerhedsforanstaltninger, idet udbydere skal træffe alle rimelige tekniske, retlige og organisatoriske foranstaltninger til at forhindre en sådan adgang, som er i strid med forpligtelser i henhold til EU-retten til at beskytte dataene, medmindre strenge betingelser er opfyldt. Forordningen er i overensstemmelse med Unionens internationale forpligtelser i WTO og i henhold til bilaterale handelsaftaler.
Kapitel VIII indeholder bestemmelser om væsentlige krav, der skal opfyldes, med hensyn til dataområdeoperatørers og databehandlingstjenesteudbyderes interoperabilitet, samt væsentlige krav vedrørende intelligente kontrakter. Kapitlet omhandler også åbne interoperabilitetsspecifikationer og europæiske standarder for databehandlingstjenesters interoperabilitet med henblik på at fremme et sømløst cloudmiljø med flere leverandører.
I kapitel IX fastsættes gennemførelses- og håndhævelsesrammen med de kompetente myndigheder i hver medlemsstat, herunder en klagemekanisme. Kommissionen vil anbefale en frivillig model for aftalevilkår for adgang til og anvendelse af data. Der skal anvendes sanktioner ved overtrædelse af denne forordning.
Kapitel X indeholder en bestemmelse med henblik på, at sui generis-retten i direktiv 96/9/EF ikke finder anvendelse på databaser, der indeholder data, der er indhentet fra eller genereret ved brug af et produkt eller en relateret tjeneste, og således hindrer brugernes effektive udøvelse af deres ret til at få adgang til og anvende data, jf. denne forordnings artikel 4, eller af retten til at dele sådanne data med tredjepart, jf. denne forordnings artikel 5.
I kapitel XI gives Kommissionens mulighed for at vedtage delegerede retsakter med henblik på at indføre en mekanisme til overvågning af flytningsgebyrer, som pålægges udbydere af databehandlingstjenester, for yderligere at præcisere de væsentlige krav vedrørende interoperabilitet og offentliggøre referencen for åbne interoperabilitetsspecifikationer og europæiske standarder for databehandlingstjenesters interoperabilitet. Kapitlet indeholder også bestemmelser om udvalgsproceduren til vedtagelse af gennemførelsesretsakter med henblik på at lette vedtagelsen af fælles specifikationer for interoperabilitet og intelligente kontrakter i de tilfælde, hvor der ikke forefindes harmoniserede standarder, eller de er utilstrækkelige til at sikre overensstemmelse med væsentlige krav. Forslaget præciserer også forholdet til andre EU-retsakter, hvorved rettigheder og forpligtelser vedrørende datadeling reguleres.
2022/0047 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om harmoniserede regler om fair adgang til og anvendelse af data
(dataforordningen)
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg,
under henvisning til udtalelse fra Regionsudvalget,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1)I de seneste år har datadrevne teknologier haft omskabende virkning på alle sektorer i økonomien. Navnlig udbredelsen af produkter, der er forbundet med tingenes internet, har øget mængden og den potentielle værdi af data for forbrugere, virksomheder og samfundet. Interoperable data af høj kvalitet fra forskellige områder øger konkurrenceevnen og innovationen og sikrer bæredygtig økonomisk vækst. Det samme datasæt kan potentielt anvendes og genanvendes til forskellige formål og i ubegrænset omfang, uden at dets kvalitet eller omfang forringes.
(2)Hindringer for deling af data vanskeliggør en optimal datafordeling til gavn for samfundet. Disse hindringer omfatter manglende incitamenter for dataindehavere til frivilligt at indgå aftaler om datadeling, usikkerhed om rettigheder og forpligtelser vedrørende data, omkostninger ved indgåelse af aftaler og gennemførelse af tekniske grænseflader, den høje grad af fragmentering af viden i datasiloer, ringe metadataforvaltning, manglende standarder for semantisk og teknisk interoperabilitet, flaskehalse, der hindrer dataadgang, en mangel på fælles praksis for datadeling samt misbrug af aftalemæssige skævheder for så vidt angår adgang til og anvendelse af data.
(3)I de sektorer, der er kendetegnet ved tilstedeværelsen af mikrovirksomheder og SMV'er, mangler der ofte digital kapacitet og digitale færdigheder til at indsamle, analysere og anvende data, og adgangen er ofte begrænset til en enkelt aktør i systemet eller begrænset som følge af manglende interoperabilitet mellem data, mellem datatjenester eller på tværs af grænserne.
(4)For at imødekomme den digitale økonomis behov og fjerne hindringer for et velfungerende indre marked for data er det nødvendigt at fastlægge en harmoniseret ramme, der præciserer, hvem der, bortset fra producenten eller andre dataindehavere, har ret til at få adgang til de data, der genereres af produkter eller relaterede tjenester, på hvilke betingelser og på hvilket grundlag. Medlemsstaterne bør derfor ikke vedtage eller opretholde yderligere nationale krav vedrørende spørgsmål, der falder ind under denne forordnings anvendelsesområde, medmindre det udtrykkeligt er fastsat i denne forordning, da dette vil påvirke den direkte og ensartede anvendelse af denne forordning.
(5)Ved denne forordning sikres det, at brugere af et produkt eller en relateret tjeneste i Unionen rettidigt kan få adgang til de data, der genereres ved brugen af det pågældende produkt eller den pågældende relaterede tjeneste, og at brugerne kan anvende dataene, bl.a. ved at dele dem med tredjeparter efter eget valg. Dataindehavere pålægges en forpligtelse til at stille data til rådighed for brugere og de tredjeparter, der er udpeget af brugerne, under visse omstændigheder. Med forordningen sikres det også, at dataindehavere stiller data til rådighed for datamodtagere i Unionen på fair, rimelige og ikkediskriminerende vilkår og på en gennemsigtig måde. Privatretlige regler er vigtige i den overordnede ramme for datadeling. Forordningen tilpasser derfor aftaleretlige regler og forhindrer udnyttelse af aftalemæssige skævheder, der hindrer fair adgang til og anvendelse af data for mikrovirksomheder og SMV'er som omhandlet i henstilling 2003/361/EF. Ved forordningen sikres det også, at dataindehavere stiller de data, der er nødvendige for udførelsen af opgaver i offentlighedens interesse, til rådighed for medlemsstaternes offentlige myndigheder og for Unionens institutioner, agenturer eller organer, hvis der er et ekstraordinært behov herfor. Desuden har denne forordning til formål at gøre det lettere at skifte mellem databehandlingstjenester og at forbedre interoperabiliteten af data og datadelingsmekanismer og -tjenester i Unionen. Denne forordning bør ikke fortolkes således, at der ved den anerkendes eller skabes et retsgrundlag for, at dataindehaveren kan være i besiddelse af, have adgang til eller behandle data, eller at dataindehaveren tillægges en ny ret til at anvende data, der er genereret ved brug af et produkt eller en relateret tjeneste. I stedet tages der udgangspunkt i den kontrol, som dataindehaveren faktisk eller retligt har over data, der er genereret af produkter og relaterede tjenester.
(6)Datagenerering er resultatet af handlinger foretaget af mindst to aktører, designeren eller producenten af et produkt og brugeren af det produkt. Det giver anledning til spørgsmål om retfærdighed i den digitale økonomi, fordi de data, der registreres af produkter eller relaterede tjenester, er et vigtigt input i eftersalgsservice, accessoriske tjenesteydelser og andre tjenester. For at kunne udnytte de vigtige økonomiske fordele ved data som et ikkerivaliserende gode for økonomien og samfundet er en generel tilgang til tildeling af adgangs- og brugsrettigheder til data at foretrække frem for eksklusive adgangs- og brugsrettigheder.
(7)Den grundlæggende ret til beskyttelse af personoplysninger er navnlig sikret ved forordning (EU) 2016/679 og forordning (EU) 2018/1725. Direktiv 2002/58/EF beskytter desuden privatlivets fred og kommunikationshemmeligheden, herunder ved fastsættelse af betingelser for enhver form for personoplysninger og andre oplysninger end personoplysninger, der er lagret i og tilgås fra terminaludstyr. Disse instrumenter danner grundlaget for bæredygtig og ansvarlig databehandling, også når datasæt omfatter en blanding af personoplysninger og andre data end personoplysninger. Denne forordning supplerer, og berører ikke, EU-lovgivningen om databeskyttelse og beskyttelse af privatlivets fred, navnlig forordning (EU) 2016/679 og direktiv 2002/58/EF. Ingen bestemmelse i denne forordning bør anvendes eller fortolkes på en sådan måde, at retten til beskyttelse af personoplysninger, retten til privatlivets fred eller kommunikationshemmeligheden mindskes eller begrænses.
(8)Principperne om dataminimering og indbygget databeskyttelse og databeskyttelse gennem standardindstillinger er afgørende, når behandlingen indebærer betydelige risici for fysiske personers grundlæggende rettigheder. Under hensyntagen til det aktuelle tekniske niveau bør alle parter i en datadeling, herunder inden for denne forordnings anvendelsesområde, gennemføre tekniske og organisatoriske foranstaltninger for at beskytte disse rettigheder. Sådanne foranstaltninger omfatter ikke kun pseudonymisering og kryptering, men også anvendelse af stadig mere tilgængelig teknologi, der gør det muligt at overføre algoritmer til data og opnå værdifuld indsigt uden overførsel mellem parterne eller unødvendig kopiering af de rå eller strukturerede data.
(9)Denne forordning supplerer, og berører ikke, EU-lovgivning, der har til formål at fremme forbrugernes interesser og sikre et højt forbrugerbeskyttelsesniveau for at beskytte deres sundhed, sikkerhed og økonomiske interesser, navnlig Europa-Parlamentets og Rådets direktiv 2005/29/EF, Europa-Parlamentets og Rådets direktiv 2011/83/EU og Europa-Parlamentets og Rådets direktiv 93/13/EØF.
(10)Denne forordning berører ikke EU-retsakter, der indeholder bestemmelser om deling af, adgang til og anvendelse af data med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner eller til told- og skatteformål, uanset det retsgrundlag i traktaten om Den Europæiske Unions funktionsmåde, som de er vedtaget på grundlag af. Sådanne retsakter omfatter Europa-Parlamentets og Rådets forordning (EU) 2021/784 af 29. april 2021 om håndtering af udbredelsen af terrorrelateret indhold online, [forslagene vedrørende elektronisk bevismateriale [COM(2018) 225 og 226], når de er vedtaget], [forslaget til] Europa-Parlamentets og Rådets forordning om et indre marked for digitale tjenester (forordningen om digitale tjenester) og om ændring af direktiv 2000/31/EF samt internationalt samarbejde i denne forbindelse, navnlig på grundlag af Europarådets konvention om IT-kriminalitet ("Budapestkonventionen") fra 2001. Denne forordning berører ikke medlemsstaternes beføjelser med hensyn til aktiviteter vedrørende offentlig sikkerhed, forsvar og national sikkerhed i overensstemmelse med EU-retten og toldaktiviteter vedrørende risikostyring samt generelt kontrol af økonomiske operatørers overholdelse af toldkodeksen.
(11)EU-lovgivning, hvorved der er fastsat krav vedrørende den fysiske udformning af og datakrav til produkter, der skal bringes i omsætning på EU-markedet, bør ikke berøres af denne forordning.
(12)Denne forordning supplerer, og berører ikke, EU-lovgivning, der har til formål at fastsætte tilgængelighedskrav for visse produkter og tjenester, navnlig direktiv 2019/882.
(13)Denne forordning berører ikke medlemsstaternes beføjelser med hensyn til aktiviteter vedrørende offentlig sikkerhed, forsvar og national sikkerhed i overensstemmelse med EU-retten og toldaktiviteter vedrørende risikostyring samt generelt kontrol af økonomiske operatørers overholdelse af toldkodeksen.
(14)Fysiske produkter, der ved hjælp af deres komponenter opnår, genererer eller indsamler data vedrørende deres ydeevne, anvendelse eller omgivelser, og som er i stand til at formidle disse data via en offentligt tilgængelig elektronisk kommunikationstjeneste (ofte kaldet tingenes internet), bør være omfattet af denne forordning. Elektroniske kommunikationstjenester omfatter landbaserede telefonnet, kabel-TV-net, satellitbaserede net og nærfeltskommunikationsnet. Sådanne produkter kan omfatte køretøjer, husholdningsudstyr og forbrugsvarer, medicinsk og sundhedsmæssigt udstyr og landbrugs- og industrimaskiner. Dataene repræsenterer en digitalisering af brugerhandlinger og -begivenheder og bør derfor være tilgængelige for brugeren, mens oplysninger, der opnås fra eller udledes af dataene — hvis opbevaret lovligt — ikke bør anses for at være omfattet af denne forordnings anvendelsesområde. Disse data er potentielt værdifulde for brugeren og støtter innovation og udviklingen af digitale tjenester og andre tjenester, der beskytter miljøet, sundheden og den cirkulære økonomi, navnlig ved at lette vedligeholdelse og reparation af de pågældende produkter.
(15)Visse produkter, der primært er beregnet til at vise eller afspille indhold eller til at optage og overføre indhold, bl.a. til brug for en onlinetjeneste, bør imidlertid ikke være omfattet af denne forordning. Sådanne produkter omfatter for eksempel personlige computere, servere, tablets og smartphones, kameraer, webkameraer, lydoptagelsessystemer og tekstscannere. De kræver menneskeligt input for at producere forskellige former for indhold såsom tekstdokumenter, lydfiler, videofiler, spil og digitale kort.
(16)Det er nødvendigt at fastsætte regler for forbundne produkter, hvori der indgår, eller som er forbundet med, en tjeneste på en sådan måde, at fraværet af tjenesten ville forhindre udførelsen af produktets funktioner. Sådanne relaterede tjenester kan være omfattet af købs-, leje- eller leasingaftalen, eller de leveres sædvanligvis sammen med produkter af samme type, og brugeren kan med rimelighed forvente leveringen i betragtning af produktets karakter og eventuelle offentlige udsagn fremsat af eller på vegne af sælger, udlejer, leasinggiver eller andre personer i forudgående led i transaktionskæden, herunder producenten. Disse relaterede tjenester kan selv generere data af værdi for brugeren uafhængigt af det forbundne produkts kapacitet til at indsamle data. Denne forordning bør også finde anvendelse på relaterede tjenester, der ikke leveres af sælger, udlejer eller leasinggiver selv, men som i henhold til købs-, leje- eller leasingaftalen leveres af tredjepart. I tilfælde af tvivl om, hvorvidt leveringen af tjenesten er omfattet af salgs-, leje- eller leasingaftalen, bør denne forordning finde anvendelse.
(17)Data, der er genereret ved brug af et produkt eller en relateret tjeneste, omfatter data, som brugeren bevidst har optaget. Sådanne data omfatter også data, der er genereret som et biprodukt af brugerens handlinger, f.eks. diagnostiske data, data, der er genereret uden handling fra brugerens side, f.eks. mens produktet har været i standbytilstand, og data, der er optaget, mens produktet har været slukket. Disse data bør omfatte data i den form og det format, som de er genereret i af produktet, men ikke data, der hidrører fra en softwareproces, hvorved der fra dataene beregnes afledte data, da sådanne softwareprocesser kan være omfattet af immaterielle ejendomsrettigheder.
(18)Brugeren af et produkt bør forstås som den juridiske eller fysiske person, f.eks. en virksomhed eller en forbruger, der har købt, lejet eller leaset produktet. Afhængigt af den ejendomsret, med hvilken brugeren anvender produktet, bærer brugeren de risici og nyder godt af de fordele, der er forbundet med at bruge det forbundne produkt, og bør også have adgang til de data, det genererer. Brugeren bør derfor have ret til at drage fordel af de data, der er genereret af produktet og enhver relateret tjeneste.
(19)I praksis er ikke alle de data, der genereres af produkter eller relaterede tjenester, let tilgængelige for brugeren, og der er ofte begrænsede muligheder for at portere data genereret af produkter, der er forbundet med tingenes internet. Brugeren er ude af stand til at indhente de data, der er nødvendige for at gøre brug af leverandører af reparationstjenester og andre tjenester, og virksomheder er ude af stand til at tilbyde innovative, mere effektive og bekvemme tjenester. I mange sektorer kan producenterne gennem deres kontrol over produktets eller de relaterede tjenesters tekniske udformning ofte bestemme, hvilke data der genereres, og hvordan de kan tilgås, selv om de ikke har nogen juridisk ret til dataene. Det er derfor nødvendigt at sikre, at produkter udformes og fremstilles, og relaterede tjenester leveres, på en sådan måde, at de data, der genereres ved deres anvendelse, altid er let tilgængelige for brugeren.
(20)Hvis flere personer eller enheder ejer et produkt eller er part i en leasing- eller lejeaftale og har adgang til en relateret tjeneste, bør der gøres en rimelig indsats i forbindelse med udformningen af produktet, den relaterede tjeneste eller den relevante grænseflade, så alle personerne kan få adgang til de data, de genererer. Typisk kræves det, at brugere af produkter, der genererer data, skal oprette en brugerkonto. Det gør det muligt for producenten at identificere brugeren og er et middel til at kommunikere med henblik på udførelse og behandling af anmodninger om dataadgang. Producenter eller designere af et produkt, der typisk anvendes af flere personer, bør indføre en mekanisme, der gør det muligt for individuelle personer at have særskilte brugerkonti i de tilfælde, hvor det er relevant, eller for flere personer at benytte den samme brugerkonto. Brugeren bør få adgang efter simple anmodningsmekanismer, hvor udførelsen sker automatisk, og det ikke er nødvendigt med undersøgelse eller godkendelse fra producentens eller dataindehaverens side. Det betyder, at dataene kun bør stilles til rådighed, når brugeren rent faktisk ønsker det. Hvis det ikke er muligt at udføre anmodningen om dataadgang automatisk, f.eks. via en brugerkonto eller en ledsagende mobilapplikation leveret sammen med produktet eller tjenesten, bør producenten oplyse brugeren om, hvordan der kan opnås adgang til dataene.
(21)Produkter kan være udformet således, at visse data kan stilles til rådighed direkte fra en datalagring i enheden eller fra en fjernserver, som dataene videresendes til. Der kan opnås adgang til datalagringen på enheden med kabelbaserede eller trådløse lokale net, der er forbundet med en offentligt tilgængelig elektronisk kommunikationstjeneste eller et mobilnet. Serveren kan være producentens eller en tredjeparts egen lokale serverkapacitet eller kapacitet hos en cloudtjenesteudbyder, der fungerer som dataindehaver. De kan være udformet med henblik på at gøre det muligt for brugeren eller en tredjepart at behandle data i produktet eller i et databehandlingsinstans fra producenten.
(22)Virtuelle assistenter spiller en stadig større rolle i digitaliseringen af forbrugermiljøer og fungerer som en brugervenlig grænseflade til at afspille indhold, få adgang til oplysninger eller aktivere fysiske genstande, der er forbundet med tingenes internet. Virtuelle assistenter kan fungere som en fælles portal i for eksempel et intelligent hjemmemiljø og generere betydelige mængder relevante data om, hvordan brugerne interagerer med produkter, der er forbundet med tingenes internet, også produkter fremstillet af andre parter, og kan overflødiggøre brugen af grænseflader leveret af producenten såsom touchscreens eller smartphoneapplikationer. Brugeren ønsker måske at stille disse data til rådighed for tredjepartsproducenter og drage fordel af nye intelligente hjemmetjenester. Sådanne virtuelle assistenter bør være omfattet af den ret til dataadgang, der er fastsat i denne forordning, også for så vidt angår data, der genereres, før den virtuelle assistent aktiveres ved hjælp af hot word, og data, der genereres, når en bruger interagerer med et produkt via en virtuel assistent, der er leveret af en anden enhed end producenten af produktet. Det er imidlertid kun de data, der stammer fra interaktionen mellem brugeren og produktet via den virtuelle assistent, der er omfattet af denne forordnings anvendelsesområde. Data, der er produceret af den virtuelle assistent, men som ikke vedrører anvendelsen af et produkt, er ikke omfattet af denne forordning.
(23)Inden der indgås en aftale om køb, leje eller leasing af et produkt eller levering af en relateret tjeneste, bør brugeren oplyses klart og tilstrækkeligt om, hvordan der kan opnås adgang til de generede data. Denne forpligtelse sikrer gennemsigtighed for så vidt angår de genererede data og fremmer en let adgang for brugeren. Denne oplysningspligt berører ikke den dataansvarliges forpligtelse til at oplyse den registrerede i henhold til artikel 12, 13 og 14 i forordning (EU) 2016/679.
(24)Ved nærværende forordning pålægges dataindehavere en forpligtelse til at stille data til rådighed under visse omstændigheder. For så vidt som personoplysninger behandles, bør dataindehaveren være dataansvarlig som omhandlet i forordning (EU) 2016/679. I de tilfælde, hvor brugeren er en registreret, bør dataindehaveren være forpligtet til at give brugeren adgang til vedkommendes data og til at stille dataene til rådighed for tredjeparter efter brugerens valg i overensstemmelse med nærværende forordning. Nærværende forordning skaber imidlertid ikke et retsgrundlag i henhold til forordning (EU) 2016/679 for, at dataindehaveren kan give adgang til personoplysninger eller stille dem til rådighed for tredjepart, når en bruger, der ikke er en registreret, anmoder herom, og bør ikke forstås således, at den giver dataindehaveren nogen ny ret til at anvende data, der er genereret ved brug af et produkt eller en relateret tjeneste. Dette gælder navnlig, hvis producenten er dataindehaveren. I så fald bør grundlaget for producentens anvendelse af andre data end personoplysninger være en kontraktlig aftale mellem producenten og brugeren. En sådan aftale kan være en del af salgs-, leje- eller leasingaftalen vedrørende produktet. Enhver kontraktbestemmelse i aftalen, der fastsætter, at dataindehaveren kan anvende data, der er genereret af brugeren af et produkt eller en relateret tjeneste, bør være gennemskuelig for brugeren, herunder med hensyn til det formål, som dataindehaveren har til hensigt at anvende dataene til. Denne forordning bør ikke være til hinder for aftalevilkår, hvis virkning er at udelukke eller begrænse dataindehaverens anvendelse af data eller visse kategorier af data. Denne forordning bør heller ikke forhindre sektorspecifikke reguleringskrav i henhold til EU-retten eller national lovgivning, der er forenelig med EU-retten, som af veldefinerede hensyn til den offentlige orden udelukker eller begrænser dataindehaverens anvendelse af visse sådanne data.
(25)I de sektorer, der er kendetegnet ved koncentration af et lille antal producenter, der leverer til slutbrugere, har brugerne kun begrænsede muligheder hvad angår datadeling med disse producenter. Under sådanne omstændigheder kan kontraktlige aftaler være utilstrækkelige til at nå målet om brugerindflydelse. Dataene forbliver som regel under producenternes kontrol, hvilket gør det vanskeligt for brugerne at opnå værdi af de data, der er genereret af det udstyr, de køber eller leaser. Der er derfor et begrænset potentiale for, at innovative mindre virksomheder kan tilbyde databaserede løsninger på en konkurrencedygtig måde, og en begrænset mulighed for en mangfoldig dataøkonomi i Europa. Denne forordning bør derfor bygge på den seneste udvikling i specifikke sektorer, som f.eks. adfærdskodeksen for deling af landbrugsdata ved kontraktmæssig aftale. Sektorspecifik lovgivning kan fremlægges for at imødekomme sektorspecifikke behov og mål. Dataindehaveren bør endvidere ikke anvende data, der er genereret ved brug af produktet eller den relaterede tjeneste, til at opnå indsigt i brugerens økonomiske situation, aktiver eller produktionsmetoder eller på anden vis, som kan underminere brugerens forretningsmæssige stilling på de markeder, hvor vedkommende er aktiv. Dette kan for eksempel være, hvis viden om en virksomheds eller en bedrifts overordnede resultater anvendes til skade for brugeren i kontraktforhandlinger med brugeren om potentiel erhvervelse af brugerens produkter eller landbrugsprodukter, eller hvis sådanne oplysninger for eksempel anvendes i større databaser vedrørende bestemte markeder samlet set (f.eks. databaser over høstudbyttet i den kommende høstsæson), da en sådan anvendelse indirekte kan påvirke brugeren negativt. Brugeren bør have den nødvendige tekniske grænseflade til rådighed til at kunne forvalte tilladelser, helst med detaljerede valgmuligheder (f.eks. "tillad én gang" eller "tillad, så længe denne applikation eller tjeneste anvendes"), herunder muligheden for at trække tilladelser tilbage.
(26)I aftaler mellem en dataindehaver og en forbruger som bruger af et produkt eller en relateret tjeneste, der genererer data, finder direktiv 93/13/EØF anvendelse på aftalevilkårene for at sikre, at forbrugeren ikke er underlagt urimelige vilkår. For så vidt angår urimelige aftalevilkår, der ensidigt påtvinges en mikrovirksomhed eller en SMV som defineret i artikel 2 i bilaget til henstilling 2003/361/EF, fastsættes det i denne forordning, at sådanne urimelige vilkår ikke bør være bindende for den pågældende virksomhed.
(27)Dataindehaveren kan kræve en hensigtsmæssig brugeridentifikation for at kontrollere brugerens ret til at få adgang til dataene. Hvis personoplysninger behandles af en databehandler på vegne af den dataansvarlige, bør dataindehaveren sørge for, at anmodningen om adgang modtages og behandles af databehandleren.
(28)Brugeren bør frit kunne anvende dataene til et hvilket som helst lovligt formål. Dette omfatter levering af de data, som brugeren har modtaget under udøvelse af retten i henhold til denne forordning, til en tredjepart, der udbyder eftersalgsservice, som kan være i konkurrence med en tjeneste, der leveres af dataindehaveren, eller instruks til dataindehaveren om at gøre dette. Dataindehaveren bør sikre, at de data, der stilles til rådighed for tredjepart, er lige så nøjagtige, fuldstændige, pålidelige, relevante og ajourførte som de data, som dataindehaveren selv har eller har ret til at få adgang til i forbindelse med brugen af produktet eller den relaterede tjeneste. Enhver forretningshemmelighed og alle immaterielle ejendomsrettigheder bør respekteres i forbindelse med behandlingen af dataene. Det er vigtigt at bevare incitamenterne til at investere i produkter med funktioner baseret på anvendelsen af data fra sensorer, der er indbygget i det pågældende produkt. Formålet med denne forordning bør derfor forstås som fremme af udviklingen af nye, innovative produkter og relaterede tjenester, stimulering af innovationen på eftermarkederne, men også stimulering af udviklingen af helt nye tjenester, der gør brug af dataene, bl.a. på grundlag af data fra en række produkter eller relaterede tjenester. Samtidig sigtes der mod at undgå at underminere investeringsincitamenterne for den type produkt, som dataene stammer fra, f.eks. hvis dataene anvendes til at udvikle et konkurrerende produkt.
(29)En tredjepart, som data stilles til rådighed for, kan være en virksomhed, en forskningsorganisation eller en nonprofitorganisation. Når dataindehaveren stiller data til rådighed for tredjepart, bør dataindehaveren ikke misbruge sin stilling til at opnå en konkurrencemæssig fordel på markeder, hvor dataindehaveren og tredjeparten kan være i direkte konkurrence. Dataindehaveren bør derfor ikke anvende data, der er genereret ved brug af produktet eller den relaterede tjeneste, til at opnå indsigt i tredjepartens økonomiske situation, aktiver eller produktionsmetoder eller på anden vis, som kan underminere tredjepartens forretningsmæssige stilling på de markeder, hvor vedkommende er aktiv.
(30)Brugen af et produkt eller en relateret tjeneste kan, navnlig når brugeren er en fysisk person, generere data, der vedrører en identificeret eller identificerbar fysisk person (den registrerede). Behandlingen af sådanne oplysninger er underlagt reglerne i forordning (EU) 2016/679, herunder når personoplysninger og andre data end personoplysninger i et datasæt er knyttet uløseligt sammen. Den registrerede kan være brugeren eller en anden fysisk person. Kun en dataansvarlig eller en registreret kan anmode om personoplysninger. En bruger, der er en registreret, har under visse omstændigheder ret i henhold til forordning (EU) 2016/679 til at få adgang til personoplysninger om sig selv, og disse rettigheder berøres ikke af nærværende forordning. I henhold til nærværende forordning har en bruger, der er en fysisk person, yderligere ret til at få adgang til alle de data, der er genereret af produktet, personoplysninger såvel som andre data end personoplysninger. I andre tilfælde end fælles husholdningsbrug af produktet, vil brugeren, hvis denne ikke er den registrerede, men en virksomhed, herunder en enkeltmandsvirksomhed, være dataansvarlig i henhold til forordning (EU) 2016/679. En sådan bruger som dataansvarlig, der har til hensigt at anmode om personoplysninger, der er genereret ved brug af et produkt eller en relateret tjeneste, skal derfor have et retsgrundlag for behandlingen af oplysningerne i henhold til artikel 6, stk. 1, i forordning (EU) 2016/679, som f.eks. den registreredes samtykke eller en legitim interesse. En sådan bruger bør sikre sig, at den registrerede er behørigt oplyst om de angivne, eksplicitte og legitime formål med behandlingen af oplysningerne, og hvordan den registrerede effektivt kan udøve sine rettigheder. Hvis dataindehaveren og brugeren er fælles dataansvarlige som omhandlet i artikel 26 i forordning (EU) 2016/679, skal de på gennemsigtig vis ved hjælp af en aftale mellem dem fastlægge deres respektive ansvar for overholdelse af nævnte forordning. Det bør forstås, at en sådan bruger, når dataene er blevet stillet til rådighed, kan blive dataindehaver, hvis vedkommende opfylder kriterierne i nærværende forordning og dermed bliver omfattet af forpligtelsen til at stille data til rådighed i henhold til nærværende forordning.
(31)Data, der er genereret ved brug af et produkt eller en relateret tjeneste, bør kun stilles til rådighed for tredjepart efter anmodning fra brugeren. Denne forordning supplerer således den ret, der er fastsat i artikel 20 i forordning (EU) 2016/679. I nævnte artikel fastsættes en ret for registrerede til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format og til at flytte disse oplysninger til andre dataansvarlige, hvis oplysningerne behandles på grundlag af artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller en kontrakt i henhold til artikel 6, stk. 1, litra b). Registrerede har også ret til at få transmitteret personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt. I artikel 20 præciseres det, at artiklen vedrører personoplysninger fra den registrerede, men det præciseres ikke, om dette kræver en aktiv adfærd fra den registreredes side, eller om artiklen også finder anvendelse i situationer, hvor et produkt eller en relateret tjeneste gennem dets udformning observerer den registreredes adfærd eller genererer andre oplysninger vedrørende den registrerede på passiv vis. Retten i henhold til nærværende forordning supplerer retten til at modtage og portere personoplysninger i henhold til artikel 20 i forordning (EU) 2016/679 på flere måder. Ved forordningen gives brugerne ret til at få adgang til data, der er genereret ved brug af et produkt eller en relateret tjeneste, og stille dem til rådighed for tredjepart, uanset om der er tale om personoplysninger, uanset om der er tale om data, der er leveret aktivt eller genereret passivt, og uanset retsgrundlaget for behandlingen. I modsætning til de tekniske forpligtelser i artikel 20 i forordning (EU) 2016/679 sikrer nærværende forordning den tekniske gennemførlighed af tredjeparters adgang til alle de typer data, der falder ind under dens anvendelsesområde, uanset om der er tale om personoplysninger eller andre data end personoplysninger. Med forordningen gives dataindehaveren mulighed for at fastsætte en rimelig godtgørelse, der skal betales af tredjepart, men ikke af brugeren, for eventuelle omkostninger ved at give direkte adgang til de data, der er genereret af brugerens produkt. Hvis en dataindehaver og en tredjepart ikke kan nå til enighed om vilkårene for en sådan direkte adgang, bør den registrerede på ingen måde forhindres i at udøve de rettigheder, der er indeholdt i forordning (EU) 2016/679, herunder retten til dataportabilitet, ved at gøre brug af retsmidler i overensstemmelse med nævnte forordning. Det skal i denne forbindelse forstås, at en kontraktlig aftale i overensstemmelse med forordning (EU) 2016/679 ikke tillader dataindehaverens eller tredjepartens behandling af særlige kategorier af personoplysninger.
(32)Adgang til data, der er lagret i og tilgås fra terminaludstyr, er omfattet af direktiv 2002/58/EF og kræver abonnentens eller brugerens samtykke som omhandlet i nævnte direktiv, medmindre det er strengt nødvendigt for leveringen af en informationssamfundstjeneste, som brugeren eller abonnenten udtrykkeligt har anmodet om (eller udelukkende med det formål at overføre kommunikation). Med direktiv 2002/58/EF ("e-databeskyttelsesdirektivet") (og den foreslåede e-databeskyttelsesforordning) beskyttes integriteten af brugerens terminaludstyr hvad angår anvendelsen af behandlings- og opbevaringsfunktioner og indsamlingen af oplysninger. IoT-udstyr betragtes som terminaludstyr, hvis det er direkte eller indirekte forbundet med et offentligt kommunikationsnet.
(33)For at forhindre, at brugerne udnyttes, bør tredjeparter, for hvem der er stillet data til rådighed efter anmodning fra brugeren, kun behandle dataene til de formål, der er aftalt med brugeren, og kun dele dem med en anden tredjepart, hvis dette er nødvendigt for at levere den tjeneste, som brugeren har anmodet om.
(34)I overensstemmelse med dataminimeringsprincippet bør tredjeparten kun få adgang til yderligere oplysninger, der er nødvendige for leveringen af den tjeneste, som brugeren har anmodet om. Efter at have fået adgang til dataene bør tredjeparten udelukkende behandle dem til de formål, der er aftalt med brugeren, uden indblanding fra dataindehaverens side. Det bør være lige så let for brugeren at afvise eller afbryde tredjepartens adgang til dataene, som det er for brugeren at give tilladelse til adgang. Tredjeparten bør ikke tvinge, vildlede eller manipulere brugeren på nogen måde ved at undergrave eller svække brugerens autonomi, beslutningstagning eller mulighed for at træffe valg, herunder ved hjælp af en digital grænseflade med brugeren. I denne forbindelse bør tredjeparter ikke benytte sig af såkaldte mørke mønstre i udformningen af deres digitale grænseflader. Mørke mønstre er designteknikker, der presser eller vildleder forbrugere til at træffe beslutninger, der har negative konsekvenser for dem. Disse manipulerende teknikker kan bruges til at overtale brugerne, navnlig sårbare forbrugere, til at opføre sig imod deres ønsker, til at vildlede dem ved at presse dem til at træffe beslutninger om at videregive deres data eller til på urimelig vis at påvirke deres beslutningstagning på en måde, der undergraver og forringer deres autonomi, beslutningstagning eller mulighed for at træffe valg. Almindelig og legitim handelspraksis, der er i overensstemmelse med EU-retten, bør ikke i sig selv anses for at udgøre mørke mønstre. Tredjeparter bør leve op til deres forpligtelser i henhold til den relevante EU-lovgivning, navnlig kravene i direktiv 2005/29/EF, direktiv 2011/83/EU, direktiv 2000/31/EF og direktiv 98/6/EF.
(35)Tredjeparter bør også afholde sig fra at bruge data til at profilere enkeltpersoner, medmindre sådanne behandlingsaktiviteter er strengt nødvendige for at levere den tjeneste, som brugeren har anmodet om. Kravet om, at oplysninger slettes, når de ikke længere er nødvendige til det formål, der er aftalt med brugeren, supplerer den registreredes ret til sletning i henhold til artikel 17 i forordning (EU) 2016/679. Hvis tredjeparten er udbyder af en dataformidlingstjeneste som omhandlet i [datastyringsforordningen], finder foranstaltningerne til beskyttelse af den registrerede i nævnte forordning anvendelse. Tredjeparten kan anvende dataene til at udvikle et nyt og innovativt produkt eller en ny og innovativ relateret tjeneste, men ikke til at udvikle et konkurrerende produkt.
(36)Opstartsvirksomheder, SMV'er og virksomheder fra traditionelle sektorer med mindre udviklet digital kapacitet har svært ved at få adgang til relevante data. Denne forordning har til formål at lette adgangen til data for disse enheder, samtidig med at de tilsvarende forpligtelser begrænses så forholdsmæssigt som muligt for at undgå overdreven regulering. Samtidig er der dukket et lille antal meget store virksomheder op, som har opnået betydelig økonomisk magt i den digitale økonomi gennem akkumulering og aggregering af store mængder data, og som har den teknologiske infrastruktur til at udnytte dataene kommercielt. Dette omfatter virksomheder, der udbyder centrale platformstjenester, der kontrollerer hele platformsøkosystemer i den digitale økonomi, og som eksisterende eller nye markedsaktører ikke er i stand til at udfordre eller konkurrere mod. [Forordningen om åbne og retfærdige markeder i den digitale sektor (forordningen om digitale markeder)] har til formål at afhjælpe sådanne ineffektiviteter og ubalancer ved at give Kommissionen mulighed for at udpege udbydere som "gatekeepere" og pålægge udpegede gatekeepere en række forpligtelser, bl.a. et forbud mod at kombinere visse data uden samtykke, samt en forpligtelse til at sikre en effektiv ret til dataportabilitet i overensstemmelse med artikel 20 i forordning (EU) 2016/679. I overensstemmelse med [forordningen om åbne og retfærdige markeder i den digitale sektor (forordningen om digitale markeder)] og i betragtning af disse virksomheders enestående evne til at erhverve data vil det ikke være nødvendigt for at nå målet med nærværende forordning at lade retten til dataadgang omfatte disse gatekeepervirksomheder, og det ville være uforholdsmæssigt i forhold til de dataindehavere, der er underlagt sådanne forpligtelser. Det betyder, at en virksomhed, der udbyder centrale platformstjenester, og som er udpeget som gatekeeper, ikke kan anmode om eller få adgang til brugerdata, der er genereret ved brug af et produkt eller en relateret tjeneste eller genereret af en virtuel assistent, på grundlag af bestemmelserne i nærværende forordnings kapitel II. Virksomheder, der udbyder centrale platformstjenester, og som er udpeget som gatekeepere i henhold til forordningen om digitale markeder, bør forstås som alle juridiske enheder i en koncern, hvor en juridisk enhed udbyder en central platformstjeneste. Ydermere må tredjeparter, for hvem der stilles data til rådighed efter anmodning fra brugeren, ikke stille dataene til rådighed for en udpeget gatekeeper. For eksempel må tredjeparten ikke give tjenesteleveringen i underentreprise til en gatekeeper. Dette forhindrer dog ikke tredjeparten i at anvende databehandlingstjenester, der udbydes af en udpeget gatekeeper. Udelukkelsen af udpegede gatekeepere fra anvendelsesområdet for adgangsretten i henhold til nærværende forordning forhindrer ikke disse virksomheder i at indhente data på andre lovlige måder.
(37)I betragtning af det nuværende teknologiske niveau er det alt for byrdefuldt at pålægge yderligere designforpligtelser vedrørende produkter, der fremstilles eller udformes, og relaterede tjenester, der leveres, af mikrovirksomheder og små virksomheder. Det er imidlertid ikke tilfældet, når en mikrovirksomhed eller en lille virksomhed gives fremstillingen eller udformningen af et produkt i underentreprise. I disse tilfælde er den virksomhed, der har udliciteret til mikrovirksomheden eller den lille virksomhed, i stand til at yde en passende godtgørelse til underleverandøren. En mikrovirksomhed eller en lille virksomhed kan dog være omfattet af kravene i denne forordning som dataindehaver, hvis den ikke er producent af produktet eller udbyder af relaterede tjenester.
(38)Denne forordning indeholder generelle regler om adgang, når en dataindehaver ved lov er forpligtet til at stille data til rådighed for en datamodtager. En sådan adgang bør være baseret på retfærdige, rimelige, ikkediskriminerende og gennemsigtige betingelser for at sikre konsekvens i datadelingspraksis på det indre marked, herunder på tværs af sektorer, og for at tilskynde til og fremme fair datadelingspraksis, selv på områder, hvor der ikke gives en sådan ret til dataadgang. Disse generelle regler om adgang finder ikke anvendelse på forpligtelser til at stille data til rådighed i henhold til forordning (EU) 2016/679. Frivillig datadeling berøres ikke af disse regler.
(39)På grundlag af princippet om aftalefrihed bør parterne fortsat frit kunne forhandle de præcise betingelser for at stille data til rådighed i deres kontrakter inden for rammerne af de generelle adgangsregler for tilrådighedsstillelse af data.
(40)For at sikre, at betingelserne for obligatorisk dataadgang er rimelige for begge parter, bør der i de generelle regler om dataadgangsrettigheder henvises til reglen om undgåelse af urimelige aftalevilkår.
(41)For at opveje den manglende viden om betingelserne i forskellige aftaler, hvilket gør det vanskeligt for datamodtageren at vurdere, om betingelserne for at stille dataene til rådighed er ikkediskriminerende, bør det påhvile dataindehaveren at påvise, at et aftalevilkår ikke er diskriminerende. Der er ikke tale om ulovlig forskelsbehandling, når en dataindehaver anvender forskellige aftalevilkår for at stille data til rådighed eller forskellig godtgørelse, hvis disse forskelle er begrundet i objektive forhold. Disse forpligtelser berører ikke forordning (EU) 2016/679.
(42)For at tilskynde til fortsat investering i generering af værdifulde data, herunder investeringer i relevante tekniske værktøjer, omfatter denne forordning det princip, at dataindehaveren kan anmode om rimelig godtgørelse, når denne er retligt forpligtet til at stille data til rådighed for datamodtageren. Disse bestemmelser bør ikke forstås som betaling for selve dataene, men for mikrovirksomheder og SMV'ers vedkommende for de omkostninger og investeringer, der er nødvendige for at stille dataene til rådighed.
(43)I begrundede tilfælde, herunder ved behov for at sikre forbrugernes deltagelse og konkurrencen eller for at fremme innovation på bestemte markeder, kan der ved EU-retten eller national lovgivning til gennemførelse af EU-retten pålægges reguleret godtgørelse for tilrådighedsstillelse af specifikke typer data.
(44)For at beskytte mikrovirksomheder og SMV'er mod urimeligt store økonomiske byrder, som ville gøre det for vanskeligt for dem kommercielt at udvikle og drive innovative forretningsmodeller, bør den godtgørelse for at stille data til rådighed, som de skal betale, være ikkediskriminerende og ikke overstige de direkte omkostninger ved at stille dataene til rådighed.
(45)De direkte omkostninger ved at stille data til rådighed er de omkostninger, der er nødvendige for reproduktion, elektronisk formidling og lagring af dataene, men ikke for indsamlingen eller genereringen af dataene. De direkte omkostninger ved at stille data til rådighed bør begrænses til den andel, der kan henføres til de enkelte anmodninger, idet der tages hensyn til, at dataindehaveren permanent skal indføre de nødvendige tekniske grænseflader eller relateret software og konnektivitet. Langsigtede aftaler mellem dataindehavere og datamodtagere, f.eks. via en abonnementsmodel, kan reducere de omkostninger, der er forbundet med at stille data til rådighed, i regelmæssige eller gentagne transaktioner i en forretningsforbindelse.
(46)Det er ikke nødvendigt at gribe ind i tilfælde af datadeling mellem store virksomheder, eller når dataindehaveren er en SMV, og datamodtageren er en stor virksomhed. I disse tilfælde anses virksomhederne for at være i stand til at forhandle om en rimelig godtgørelse under hensyntagen til faktorer som mængde, format og karakter af dataene, udbud af og efterspørgsel efter dataene samt omkostningerne ved at indsamle og stille dataene til rådighed for datamodtageren.
(47)Gennemsigtighed er et vigtigt princip for at sikre, at den godtgørelse, som dataindehaveren anmoder om, er rimelig, eller, hvis datamodtageren er en mikrovirksomhed eller en SMV, at godtgørelsen ikke overstiger de omkostninger, der er direkte forbundet med at stille dataene til rådighed for datamodtageren, og at den kan henføres til den enkelte anmodning. For at datamodtageren kan vurdere og kontrollere, om godtgørelsen opfylder kravene i denne forordning, bør dataindehaveren give datamodtageren tilstrækkelige oplysninger til at kunne beregne godtgørelsen.
(48)En sikring af adgangen til alternative metoder til bilæggelse af nationale og grænseoverskridende tvister, der opstår i forbindelse med tilrådighedsstillelse af data, bør være til gavn for dataindehavere og datamodtagere og dermed styrke tilliden til datadeling. I tilfælde, hvor parterne ikke kan nå til enighed om fair, rimelige og ikkediskriminerende vilkår for at stille data til rådighed, bør tvistbilæggelsesorganer tilbyde parterne en enkel, hurtig og billig løsning.
(49)For at undgå, at to eller flere tvistbilæggelsesorganer inddrages i samme tvist, navnlig i en grænseoverskridende sammenhæng, bør et tvistbilæggelsesorgan kunne afvise en anmodning om bilæggelse af en tvist, der allerede er indbragt for et andet tvistbilæggelsesorgan eller for en domstol i en medlemsstat.
(50)Parterne i tvistbilæggelsesprocedurer bør ikke forhindres i at udøve deres grundlæggende ret til adgang til effektive retsmidler og til en retfærdig rettergang. Beslutningen om at indbringe en tvist for et tvistbilæggelsesorgan bør derfor ikke fratage parterne deres ret til domstolsprøvelse i en medlemsstat.
(51)Hvis den ene part befinder sig i en stærkere forhandlingsposition, er der risiko for, at denne part kan udnytte sin position til skade for den anden part i forhandlinger om adgang til data og gøre adgangen til data kommercielt mindre rentabel eller endda økonomisk uoverkommelig. Sådanne aftalemæssige ubalancer skader især de mikrovirksomheder og SMV'er, der ikke har en reel evne til at forhandle betingelserne for adgang til data, og som måske ikke har andet valg end at acceptere aftalevilkår om "alt eller intet". Urimelige aftalevilkår, der regulerer adgangen til og anvendelsen af data eller ansvar og retsmidler i forbindelse med brud på eller ophør af datarelaterede forpligtelser, bør derfor ikke være bindende for mikrovirksomheder og SMV'er, når de ensidigt er blevet påtvunget dem.
(52)I regler om aftalevilkår bør der tages hensyn til princippet om aftalefrihed som et væsentligt begreb i relationer mellem virksomheder. Derfor bør ikke alle aftalevilkår underkastes en urimelighedsprøve, men kun de vilkår, der ensidigt er påtvunget mikrovirksomheder og SMV'er. Det omfatter tilfælde af "alt eller intet"-forhold, hvor den ene part fremsætter et bestemt aftalevilkår, og mikrovirksomheden eller SMV'en ikke kan påvirke indholdet af dette vilkår på trods af forsøg på forhandling. Et aftalevilkår, der blot fremsættes af en part og accepteres af en mikrovirksomhed eller en SMV, eller et vilkår, der forhandles og efterfølgende aftales med ændringer mellem parterne, bør ikke betragtes som ensidigt påtvunget.
(53)Endvidere bør reglerne om urimelige aftalevilkår kun finde anvendelse på de elementer i en aftale, der vedrører tilrådighedsstillelse af data, dvs. aftalevilkår vedrørende adgang til og anvendelse af data samt ansvar og retsmidler i forbindelse med brud på og ophør af datarelaterede forpligtelser. Andre dele af samme aftale, som ikke vedrører tilrådighedsstillelse af data, bør ikke være underlagt en urimelighedsprøve som fastsat i denne forordning.
(54)Kriterierne for påvisning af urimelige aftalevilkår bør kun anvendes på yderligtgående vilkår, hvor en stærkere forhandlingsposition misbruges. Langt de fleste aftalevilkår, der er kommercielt gunstigere for den ene part end for den anden, herunder vilkår, der er sædvanlige i aftaler mellem virksomheder, er et normalt udtryk for princippet om aftalefrihed og finder fortsat anvendelse.
(55)Hvis et aftalevilkår ikke er medtaget på listen over vilkår, der altid betragtes som urimelige, eller som formodes at være urimelige, finder den generelle bestemmelse om urimelige aftalevilkår anvendelse. I denne forbindelse bør de vilkår, der er opregnet som urimelige aftalevilkår, tjene som målestok for fortolkningen af den generelle bestemmelse om urimelige aftalevilkår. Endelig kan den model for vilkår for aftaler om datadeling mellem virksomheder, der skal udvikles og anbefales af Kommissionen, også være nyttig for de kommercielle parter, når der forhandles kontrakter.
(56)I tilfælde, hvor der er et ekstraordinært behov, eller i andre ekstraordinære tilfælde kan det være nødvendigt for offentlige myndigheder eller Unionens institutioner, agenturer eller organer at anvende data, som en virksomhed er i besiddelse af, til at reagere på offentlige nødsituationer. Forskningsorganisationer og forskningsfinansierende organisationer kan også organiseres som offentlige myndigheder eller offentligretlige organer. For at begrænse byrden for virksomheder bør mikrovirksomheder og små virksomheder fritages for forpligtelsen til at stille data til rådighed for offentlige myndigheder og Unionens institutioner, agenturer eller organer i tilfælde, hvor der er et ekstraordinært behov.
(57)I offentlige nødsituationer såsom folkesundhedsmæssige kriser, nødsituationer som følge af miljøforringelse og større naturkatastrofer — herunder katastrofer, der forværres af klimaændringer — samt større menneskeskabte katastrofer som f.eks. større cybersikkerhedsrelaterede hændelser vil offentlighedens interesse i anvendelsen af dataene veje tungere end dataindehavernes interesse i frit at kunne disponere over de data, de er i besiddelse af. I disse tilfælde bør dataindehaverne pålægges en forpligtelse til at stille dataene til rådighed for offentlige myndigheder eller Unionens institutioner, agenturer eller organer på disses anmodning. Hvorvidt der er tale om en offentlig nødsituation, bestemmes efter de respektive procedurer i medlemsstaterne eller i relevante internationale organisationer.
(58)Der kan også være tale om et ekstraordinært behov, når en offentlig myndighed kan påvise, at dataene er nødvendige enten for at forebygge en offentlig nødsituation eller for at bidrage til genopretningen efter en offentlig nødsituation under omstændigheder, der ligger rimeligt tæt på den pågældende offentlige nødsituation. Hvis det ekstraordinære behov ikke er begrundet i behovet for at reagere på, forebygge eller bistå i genopretningen efter en offentlig nødsituation, bør de offentlige myndigheder eller Unionens institutioner, agenturer eller organer påvise, at den manglende rettidige adgang til og anvendelse af de anmodede data forhindrer en effektiv udførelse af en specifik opgave i offentlighedens interesse som udtrykkeligt fastsat i lovgivningen. Et sådant ekstraordinært behov kan også opstå i andre tilfælde, f.eks. i forbindelse med rettidig udarbejdelse af officielle statistikker, hvis dataene ikke er tilgængelige på anden vis, eller hvis byrden for respondenterne i statistikken vil blive betydeligt reduceret. Samtidig bør den offentlige myndighed eller Unionens institution, agentur eller organ — bortset fra i tilfælde af reaktion på, forebyggelse af eller bistand til genopretning efter en offentlig nødsituation — påvise, at der ikke findes nogen alternativ måde at indsamle de ønskede data på, og at dataene ikke kan indsamles rettidigt ved at fastsætte de nødvendige dataleveringsforpligtelser i ny lovgivning.
(59)Denne forordning bør ikke finde anvendelse på eller foregribe frivillige ordninger for udveksling af data mellem private og offentlige enheder. Denne forordning bør ikke berøre dataindehaveres forpligtelser til at stille data til rådighed, der er begrundede i behov af ikkeekstraordinær karakter, navnlig hvis dataomfanget og dataindehaverne er kendte, og hvis dataanvendelsen kan finde sted regelmæssigt, som det er tilfældet med indberetningsforpligtelser og forpligtelser vedrørende det indre marked. Krav om dataadgang for at kontrollere overholdelsen af gældende regler, herunder i tilfælde, hvor offentlige myndigheder overdrager opgaven med kontrol af overholdelsen til andre enheder end offentlige myndigheder, bør heller ikke berøres af denne forordning.
(60)Offentlige myndigheder og Unionens institutioner, agenturer og organer bør med henblik på udførelsen af deres opgaver inden for forebyggelse, efterforskning, afsløring eller retsforfølgning af strafferetlige og administrative overtrædelser, fuldbyrdelse af strafferetlige og administrative sanktioner samt indsamling af data til skatte- eller toldformål gøre brug af deres beføjelser i henhold til sektorspecifik lovgivning. Denne forordning berører derfor ikke instrumenter vedrørende deling af, adgang til og anvendelse af data på disse områder.
(61)En forholdsmæssig, begrænset og forudsigelig ramme på EU-plan er nødvendig for, at dataindehavere i tilfælde, hvor der er et ekstraordinært behov, kan stille data til rådighed for offentlige myndigheder og Unionens institutioner, agenturer eller organer, både for at sikre retssikkerhed og for at minimere de administrative byrder, der pålægges virksomhederne. Med henblik herpå bør dataanmodninger fra offentlige myndigheder og Unionens institutioner, agenturer og organer til dataindehavere være gennemsigtige og forholdsmæssige for så vidt angår omfang og detaljeringsgrad. Formålet med anmodningen og den påtænkte anvendelse af de anmodede data bør være specifikt og tydeligt forklaret, samtidig med at den anmodende enhed gives tilstrækkelig fleksibilitet til at udføre sine opgaver i offentlighedens interesse. Anmodningen bør også respektere de legitime interesser hos de virksomheder, som anmodningen rettes til. Byrden for dataindehaverne bør minimeres ved at forpligte de anmodende enheder til at overholde engangsprincippet, hvilket forhindrer, at de samme data kan rekvireres flere gange af flere offentlige myndigheder eller flere af Unionens institutioner, agenturer og organer, hvis dataene er nødvendige for at reagere på en offentlig nødsituation. For at sikre gennemsigtighed bør dataanmodninger fra offentlige myndigheder og Unionens institutioner, agenturer eller organer offentliggøres uden unødigt ophold af den enhed, der anmoder om dataene, og der bør sikres offentlig onlineadgang til alle anmodninger, der er begrundede i en offentlig nødsituation.
(62)Formålet med forpligtelsen til at stille data til rådighed er at sikre, at offentlige myndigheder og Unionens institutioner, agenturer og organer har den nødvendige viden til at reagere på, forebygge eller komme på fode igen efter offentlige nødsituationer eller til at opretholde evnen til at udføre specifikke opgaver, der udtrykkeligt er fastsat ved lov. Sådanne data kan være kommercielt følsomme. Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 bør derfor ikke finde anvendelse på data, der stilles til rådighed i henhold til nærværende forordning, og som derfor ikke bør betragtes som åbne data, der er tilgængelige for tredjeparter med henblik på videreanvendelse. Dette bør dog ikke berøre anvendelsen af direktiv (EU) 2019/1024 på videreanvendelse af officielle statistikker, til hvis udarbejdelse data indhentet i henhold til denne forordning er blevet anvendt, forudsat at videreanvendelsen ikke omfatter de underliggende data. Desuden bør det ikke berøre muligheden for datadeling med henblik på forskning eller udarbejdelse af officielle statistikker, forudsat at betingelserne i denne forordning er opfyldt. Offentlige myndigheder bør også have mulighed for at udveksle data, der er indhentet i henhold til denne forordning, med andre offentlige myndigheder for at imødekomme de ekstraordinære behov, som afstedkom anmodningen om data.
(63)Dataindehavere, der modtager en anmodning fra en offentlig myndighed eller fra Unionens institutioner, agenturer eller organer, bør have mulighed for at anmode om en ændring eller annullering af anmodningen inden for en periode på 5 eller 15 arbejdsdage afhængigt af arten af det ekstraordinære behov, der gøres gældende i anmodningen. I tilfælde af anmodninger, der er begrundet i en offentlig nødsituation, kan det være berettiget ikke at stille dataene til rådighed, hvis det kan påvises, at anmodningen svarer til eller er identisk med en tidligere indgivet anmodning til samme formål fra en anden offentlig myndighed eller fra andre af Unionens institutioner, agenturer eller organer. En dataindehaver, der afviser anmodningen eller anmoder om ændring heraf, bør meddele begrundelsen for afslaget på anmodningen til den offentlige myndighed eller de af Unionens institutioner, agenturer eller organer, der anmoder om dataene. Hvis sui generis-retten i henhold til Europa-Parlamentets og Rådets direktiv 96/6/EF finder anvendelse i forbindelse med de datasæt, der anmodes om, bør dataindehaverne udøve deres rettigheder på en måde, der ikke forhindrer den offentlige myndighed eller Unionens institutioner, agenturer og organer i at indhente dataene eller dele dem i overensstemmelse med denne forordning.
(64)Hvis det er strengt nødvendigt at medtage personoplysninger i de data, der stilles til rådighed for en offentlig myndighed eller Unionens institutioner, agenturer eller organer, bør de gældende regler om beskyttelse af personoplysninger overholdes, og tilrådighedsstillelsen og den efterfølgende anvendelse af oplysningerne bør ledsages af garantier for beskyttelse af de berørte fysiske personers rettigheder og interesser. Den myndighed, der anmoder om data, bør påvise den strenge nødvendighed og de specifikke og begrænsede formål med databehandlingen. Dataindehaveren bør gøre en rimelig indsats for at anonymisere dataene, eller hvis en sådan anonymisering viser sig umulig, bør dataindehaveren anvende teknologiske midler såsom pseudonymisering og aggregering, inden dataene gøres tilgængelige.
(65)Data, der stilles til rådighed for offentlige myndigheder og for Unionens institutioner, agenturer og organer på grundlag af et ekstraordinært behov, bør kun anvendes til det formål, hvortil de blev anmodet, medmindre den dataindehaver, der har gjort dataene tilgængelige, udtrykkeligt har indvilliget i, at dataene anvendes til andre formål. Medmindre andet er aftalt bør dataene destrueres, når de ikke længere er nødvendige til det i anmodningen anførte formål, og dataindehaveren bør underrettes herom.
(66)Ved genanvendelse af data, som en dataindehaver har stillet til rådighed, bør offentlige myndigheder og Unionens institutioner, agenturer og organer overholde både eksisterende gældende lovgivning og kontraktlige forpligtelser, som dataindehaveren er underlagt. Hvis videregivelse af dataindehaverens forretningshemmeligheder til offentlige myndigheder eller til Unionens institutioner, agenturer eller organer er strengt nødvendig for at opfylde det formål, hvortil der er anmodet om data, bør dataindehaveren garanteres fortrolighed i forbindelse med en sådan videregivelse.
(67)Når det drejer sig om beskyttelsen af et vigtigt offentligt gode, som det er tilfældet med reaktion på offentlige nødsituationer, bør virksomhederne ikke forvente en godtgørelse for de indhentede data fra den offentlige myndighed eller Unionens institution, agentur eller organ. Offentlige nødsituationer er sjældne begivenheder, og ikke alle sådanne nødsituationer vil kræve brug af virksomheders data. Dataindehavernes forretningsaktiviteter vil derfor sandsynligvis ikke blive påvirket negativt som følge af, at de offentlige myndigheder eller Unionens institutioner, agenturer eller organer anvender denne forordning. Et ekstraordinært behov, som ikke er en reaktion på en offentlig nødsituation, herunder forebyggelse eller genopretning efter en offentlig nødsituation, kan forekomme hyppigere, og dataindehavere bør i sådanne tilfælde have ret til en rimelig godtgørelse, som ikke bør overstige de tekniske og organisatoriske omkostninger i forbindelse med at efterkomme anmodningen, og den rimelige margen, der er nødvendig for at stille dataene til rådighed for den offentlige myndighed eller for Unionens institutioner, agenturer eller organer. Godtgørelsen bør ikke forstås som betaling for selve dataene eller som obligatorisk.
(68)Den offentlige myndighed eller Unionens institution, agentur eller organ kan dele de indhentede data med andre enheder eller personer, når dette er nødvendigt for at udføre videnskabelige forsknings- eller analyseaktiviteter, som den ikke selv kan udføre. Sådanne data kan under de samme omstændigheder også deles med de nationale statistiske kontorer og Eurostat med henblik på udarbejdelse af officielle statistikker. Sådanne forskningsaktiviteter bør dog være forenelige med det formål, hvortil der blev anmodet om data, og dataindehaveren bør informeres om den videre deling af de data, vedkommende har leveret. Forskere eller forskningsinstitutioner, som disse data deles med, bør handle enten uden gevinst for øje eller i forbindelse med en almennyttig opgave, der er anerkendt af staten. Institutioner, der er underlagt kommercielle virksomheders bestemmende indflydelse, som gør det muligt for sådanne virksomheder at udøve kontrol på grund af strukturelle situationer, der kan føre til præferentiel adgang til forskningsresultaterne, bør ikke betragtes som forskningsinstitutioner i forbindelse med denne forordning.
(69)At en kunde har mulighed for at skifte fra én databehandlingstjeneste, herunder cloud- og edgetjenester, til en anden, og samtidig er sikret et minimum af tjenestefunktionalitet, er en afgørende forudsætning for et mere konkurrencedygtigt marked med lavere adgangsbarrierer for nye tjenesteudbydere.
(70)Europa-Parlamentets og Rådets forordning (EU) 2018/1807 tilskynder tjenesteudbydere til effektivt at udvikle og gennemføre selvregulerende adfærdskodekser, der omfatter bedste praksis for bl.a. at lette skift af udbydere af databehandlingstjenester og overførsel af data. I betragtning af den begrænsede effektivitet af de selvregulerende rammer, der er udviklet som reaktion herpå, og den generelle mangel på åbne standarder og grænseflader er det nødvendigt at vedtage et sæt lovmæssige minimumsforpligtelser for udbydere af databehandlingstjenester for at fjerne aftalemæssige, økonomiske og tekniske hindringer for effektive skift mellem databehandlingstjenester.
(71)Databehandlingstjenester bør omfatte tjenester, der giver mulighed for on demand-adgang og bred fjernadgang til en skalerbar og elastisk pulje af delelige og distribuerede computerressourcer. Disse computerressourcer omfatter ressourcer såsom netværk, servere eller anden virtuel eller fysisk infrastruktur, operativsystemer, software, herunder softwareudviklingsværktøjer, lagring, applikationer og tjenester. Kundens mulighed for ensidigt selvforsynende databehandlingskapacitet, såsom servertid eller netlagring, uden nogen menneskelig interaktion fra udbyderen af databehandlingstjenestens side, kan beskrives som on demand-administration. Udtrykket "bred fjernadgang" anvendes til at beskrive, at databehandlingskapaciteten leveres over nettet og tilgås gennem mekanismer, der fremmer brugen af heterogene tynde eller tykke klientplatforme (herunder webbrowsers, mobiltelefoner og arbejdsstationer). Udtrykket "skalerbar" henviser til databehandlingsressourcer, der fordeles fleksibelt af udbyderen af databehandlingstjenester, uanset ressourcernes geografiske placering, med henblik på at håndtere udsving i efterspørgslen. Udtrykket "elastisk pulje" bruges til at beskrive de IT-ressourcer, der tilvejebringes og stilles til rådighed alt efter efterspørgslen for hurtigt at øge eller mindske de tilgængelige ressourcer alt efter arbejdsbyrden. Udtrykket "delbar" bruges til at beskrive de IT-ressourcer, der leveres til flere brugere, som deler en fælles adgang til tjenesten, men hvor databehandlingen foretages særskilt for hver bruger, selv om tjenesten leveres fra samme elektroniske udstyr. Udtrykket "distribueret" anvendes til at beskrive de databehandlingsressourcer, der befinder sig på forskellige netforbundne computere eller enheder, og som kommunikerer og koordinerer indbyrdes ved at sende meddelelser. Udtrykket "stærkt distribueret" anvendes til at beskrive databehandlingstjenester, der indebærer databehandling tættere på det sted, hvor data genereres eller indsamles, f.eks. i en tilsluttet databehandlingsenhed. Edgecomputing, som er en form for stærkt distribueret databehandling, forventes at skabe nye forretningsmodeller og modeller for levering af cloudtjenester, som bør være åbne og interoperable fra starten.
(72)Denne forordning har til formål at gøre det lettere at skifte mellem databehandlingstjenester, hvilket omfatter alle de betingelser og handlinger, der er nødvendige for, at en kunde kan opsige en kontraktlig aftale med en databehandlingstjeneste, indgå en eller flere nye aftaler med forskellige udbydere af databehandlingstjenester, overføre alle sine digitale aktiver, herunder data, til de andre udbydere og fortsætte med at anvende dem i det nye miljø, samtidig med at de drager fordel af funktionel ækvivalens. Digitale aktiver henviser til elementer i digitalt format, som kunden har brugsret til, herunder data, applikationer, virtuelle maskiner og andre udtryk for virtualiseringsteknologier såsom containere. Funktionel ækvivalens betyder opretholdelse af et minimum af funktionalitet i en tjeneste efter et skift, og det bør anses for teknisk muligt, når både den opsagte og den nye databehandlingstjeneste (helt eller delvist) dækker den samme tjenestetype. Metadata, der genereres ved kundens brug af en tjeneste, bør også kunne overføres i henhold til denne forordnings bestemmelser om skift.
(73)Hvis udbydere af databehandlingstjenester selv er kunder hos en tredjepartsudbyder af databehandlingstjenester, vil de selv drage fordel af et mere effektivt skift, samtidig med at de altid er bundet af denne forordnings forpligtelser for så vidt angår deres egne tjenesteudbud.
(74)Udbydere af databehandlingstjenester bør forpligtes til at tilbyde al den bistand og støtte, der er nødvendig for at gøre skiftet vellykket og effektivt, uden at det kræves, at disse udbydere af databehandlingstjenester udvikler nye kategorier af tjenester inden for eller på grundlag af IT-infrastrukturen hos forskellige udbydere af databehandlingstjenester for at sikre funktionel ækvivalens i et andet miljø end deres egne systemer. Ikke desto mindre skal tjenesteudbyderne tilbyde al den bistand og støtte, der er nødvendig for et effektivt skift. Eksisterende rettigheder i forbindelse med opsigelse af aftaler, herunder dem, der blev indført ved forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU) 2019/770, bør ikke berøres.
(75)For at gøre det lettere at skifte mellem databehandlingstjenester bør udbydere af databehandlingstjenester overveje at anvende gennemførelses- og/eller overholdelsesværktøjer, navnlig dem, der offentliggøres af Kommissionen i form af et regelsæt vedrørende cloudtjenester. Navnlig er standardkontraktbestemmelser gavnlige med hensyn til at øge tilliden til databehandlingstjenester, fremme et afbalanceret forhold mellem brugere og tjenesteudbydere og forbedre retssikkerheden med hensyn til de betingelser, der gælder for skift til andre databehandlingstjenester. På denne baggrund bør brugere og tjenesteudbydere overveje at anvende standardkontraktbestemmelser, der er udarbejdet af relevante organer eller ekspertgrupper, der er nedsat i henhold til EU-retten.
(76)Åbne interoperabilitetsspecifikationer og -standarder, der er udviklet i overensstemmelse med punkt 3 og 4 i bilag II til forordning (EU) nr. 1025/2021 inden for interoperabilitet og portabilitet, muliggør et gnidningsfrit cloudmiljø med flere udbydere, hvilket er et centralt krav til åben innovation i den europæiske dataøkonomi. Da markedsdrevne processer ikke har været tilstrækkelige til at muliggøre fastsættelsen af tekniske specifikationer eller standarder, der fremmer effektiv cloudinteroperabilitet på PaaS-niveau (platform-as-a-service) og SaaS-niveau (software-as-a-service), bør Kommissionen på grundlag af denne forordning og i overensstemmelse med forordning (EU) nr. 1025/2012 kunne anmode europæiske standardiseringsorganer om at udvikle sådanne standarder, navnlig for tjenestetyper, hvor sådanne standarder endnu ikke findes. Derudover vil Kommissionen tilskynde markedsaktørerne til at udvikle relevante åbne interoperabilitetsspecifikationer. Kommissionen kan ved hjælp af delegerede retsakter fastsætte brugen af europæiske standarder for interoperabilitet eller åbne interoperabilitetsspecifikationer for specifikke tjenestetyper gennem en reference i et centralt EU-standardiseringsregister for databehandlingstjenesters interoperabilitet. En sådan reference til europæiske standarder og åbne interoperabilitetsspecifikationer skal være i overensstemmelse med kriterierne i denne forordning, som har samme betydning som kravene i punkt 3 og 4 i bilag II til forordning (EU) nr. 1025/2021 og de interoperabilitetsfacetter, der er defineret i ISO/IEC 19941:2017.
(77)Tredjelande kan vedtage love, forskrifter og andre retsakter, der har til formål direkte at overføre eller give statslig adgang til andre data end personoplysninger, der befinder sig uden for deres grænser, herunder i Unionen. En dom afsagt af en domstol eller ret og en afgørelse truffet af andre judicielle eller administrative myndighed, herunder retshåndhævende myndigheder, i et tredjeland, ifølge hvilken der pålægges krav om overførsel af eller adgang til andre data end personoplysninger, bør kunne håndhæves, hvis de er baseret på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat. I andre tilfælde kan der opstå situationer, hvor en anmodning om overførsel af eller adgang til andre data end personoplysninger, der følger af et tredjelands lovgivning, er i strid med en forpligtelse til at beskytte sådanne oplysninger i henhold til EU-retten eller national ret, navnlig med hensyn til beskyttelsen af fysiske personers grundlæggende rettigheder, såsom retten til sikkerhed og adgangen til effektive retsmidler eller en medlemsstats grundlæggende interesser i forbindelse med statens sikkerhed eller forsvar, samt beskyttelse af kommercielt følsomme data, herunder beskyttelse af forretningshemmeligheder, og beskyttelse af intellektuelle ejendomsrettigheder, herunder alle kontraktlige forpligtelser vedrørende fortrolighed i overensstemmelse med sådan lovgivning. I mangel af internationale aftaler om sådanne spørgsmål bør overførsel eller adgang kun tillades, hvis tredjelandets system kræver, at afgørelsen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet; endvidere skal retskendelsen eller afgørelsen være af specifik karakter, og en begrundet indsigelse fra adressaten skal kunne prøves ved en kompetent domstol i tredjelandet, som har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de pågældende data til rådighed. Når det er muligt i henhold til betingelserne i tredjelandets anmodning om dataadgang, bør udbyderen af databehandlingstjenester kunne informere den kunde, hvis data der anmodes om, med henblik på at kontrollere, om der er en potentiel konflikt mellem en sådan adgang og EU-reglerne eller de nationale regler, f.eks. reglerne om beskyttelse af forretningsmæssigt følsomme data, herunder beskyttelse af forretningshemmeligheder og intellektuelle ejendomsrettigheder, og de kontraktlige forpligtelser vedrørende fortrolighed.
(78)For at øge datatilliden er det vigtigt, at der så vidt muligt gennemføres sikkerhedsforanstaltninger så EU-borgerne, den offentlige sektor og virksomhederne kan sikre sig kontrol over deres egne data. Desuden bør EU's lovgivning, værdier og standarder respekteres med hensyn til (men ikke begrænset til) sikkerhed, databeskyttelse, privatlivets fred samt forbrugerbeskyttelse. For at forhindre ulovlig adgang til andre data end personoplysninger bør udbydere af databehandlingstjenester, der er omfattet af denne forordning, såsom cloud- og edgetjenester, træffe alle rimelige foranstaltninger for at forhindre adgang til de systemer, hvor andre data end personoplysninger er lagret, herunder gennem kryptering af data, hyppig indgivelse af revisioner, verificeret overholdelse af relevante certificeringsordninger for sikkerhedsgarantier og ændring af virksomhedspolitikker, alt efter tilfældet.
(79)Standardisering og semantisk interoperabilitet bør være i centrum når der skal tilvejebringes tekniske løsninger til sikring af interoperabilitet. For at lette overensstemmelsen med interoperabilitetskravene er det nødvendigt at fastsætte bestemmelser om en formodning om overensstemmelse for interoperabilitetsløsninger, der lever op til harmoniserede standarder eller dele deraf i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012. Kommissionen bør vedtage fælles specifikationer på områder, hvor der ikke findes harmoniserede standarder, eller hvor de er utilstrækkelige, med henblik på yderligere at forbedre interoperabiliteten for de fælles europæiske dataområder, applikationsprogrammeringsgrænseflader, cloudflytninger og intelligente kontrakter. Desuden kan der fortsat vedtages fælles specifikationer i de forskellige sektorer i overensstemmelse med EU-retten eller national sektorlovgivning på grundlag af disse sektorers specifikke behov. Genanvendelige datastrukturer og -modeller (i form af centrale glossarer), ontologier, applikationsprofileret metadata, referencedata i centrale glossarer, taksonomier, kodelister, autoriseringstabeller og tesaurusser bør også indgå i de tekniske specifikationer for semantisk interoperabilitet. Desuden bør Kommissionen have mulighed for at give mandat til udvikling af harmoniserede standarder for databehandlingstjenesters interoperabilitet.
(80)For at fremme intelligente kontrakters interoperabilitet i datadelingsapplikationer er det nødvendigt at fastsætte væsentlige krav til intelligente kontrakter i forbindelse med personer, der opretter intelligente kontrakter for andre eller integrerer sådanne intelligente kontrakter i applikationer, der understøtter gennemførelsen af aftaler om datadeling. For at lette sådanne intelligente kontrakters overensstemmelse med de væsentlige krav er det nødvendigt at fastsætte bestemmelser om en formodning om overensstemmelse for intelligente kontrakter, der lever op til harmoniserede standarder eller dele deraf i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012.
(81)For at sikre en effektiv gennemførelse af denne forordning bør medlemsstaterne udpege en eller flere kompetente myndigheder. Hvis en medlemsstat udpeger mere end én kompetent myndighed, bør den også udpege en koordinerende kompetent myndighed. De kompetente myndigheder bør samarbejde med hinanden. De myndigheder, der er ansvarlige for at føre tilsyn med overholdelsen af databeskyttelsesreglerne, og de kompetente myndigheder, der er udpeget i henhold til sektorspecifik lovgivning, bør have ansvaret for anvendelsen af denne forordning inden for deres respektive kompetenceområder.
(82)For at håndhæve deres rettigheder i henhold til denne forordning bør fysiske og juridiske personer have ret til at søge erstatning for krænkelser af deres rettigheder i henhold til denne forordning ved at indgive klager til de kompetente myndigheder. Disse myndigheder bør have pligt til at samarbejde for at sikre, at klagen behandles og løses på passende vis. For at gøre brug af forbrugerbeskyttelsesnetværket og muliggøre gruppesøgsmål ændres bilagene til Europa-Parlamentets og Rådets forordning (EU) 2017/2394 og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 ved denne forordning.
(83)Medlemsstaternes kompetente myndigheder bør sikre, at overtrædelser af de forpligtelser, der er fastsat i denne forordning, medfører pålæggelse af sanktioner. I forbindelse hermed bør de tage hensyn til overtrædelsens art, grovhed, gentagne karakter og varighed set i lyset af de samfundsmæssige hensyn, der varetages, omfanget og arten af de aktiviteter, der udføres, samt den krænkende parts økonomiske formåen. De bør tage hensyn til, om den krænkende part systematisk eller gentagne gange har undladt at opfylde sine forpligtelser i henhold til denne forordning. For at hjælpe virksomhederne med at udarbejde og forhandle aftaler bør Kommissionen udvikle og anbefale en ikkeobligatorisk model for aftalevilkår om datadeling mellem virksomheder, om nødvendigt under hensyntagen til betingelserne i specifikke sektorer og den eksisterende praksis med frivillige datadelingsmekanismer. Denne model for aftalevilkår bør først og fremmest være et praktisk redskab, der kan hjælpe især mindre virksomheder med at indgå aftaler. Når denne model for aftalevilkår anvendes bredt og integreret, kan den også generelt have en gavnlig virkning på udformningen af aftaler om adgang til og anvendelse af data, og derfor føre til mere retfærdige aftaleforhold i forbindelse med adgang til og deling af data.
(84)For at fjerne risikoen for, at indehavere af data i databaser, der er indsamlet eller genereret ved hjælp af fysiske komponenter, som f.eks. sensorer, af et forbundet produkt og en relateret tjeneste, påberåber sig sui generis-retten i henhold til artikel 7 i direktiv 96/9/EF, i tilfælde, hvor sådanne databaser ikke opfylder sui generis-kriterierne, og derved hindrer brugernes effektive udøvelse af deres ret til at få adgang til og anvende data og deres ret til at dele data med tredjeparter i henhold til denne forordning, bør denne forordning præcisere, at sui generis-retten ikke finder anvendelse på sådanne databaser, da kravene til beskyttelse ikke vil være opfyldt.
(85)For at tage hensyn til de tekniske aspekter af databehandlingstjenester bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for så vidt angår supplering af denne forordning med henblik på at indføre en overvågningsmekanisme for de gebyrer, som udbydere af databehandlingstjenester på markedet opkræver ved skift af udbyder, at præcisere de væsentlige interoperabilitetskrav til operatører af dataområder og udbydere af databehandlingstjenester samt at offentliggøre referencen for åbne interoperabilitetsspecifikationer og europæiske standarder for databehandlingstjenesters interoperabilitet. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016. For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.
(86)For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til at supplere denne forordning med henblik på at vedtage fælles specifikationer for at sikre interoperabilitet mellem fælles europæiske dataområder og datadeling, skift mellem databehandlingstjenester, interoperabilitet mellem intelligente kontrakter samt for tekniske midler, såsom programmeringsgrænseflader for applikationer, for at muliggøre overførsel af data mellem parterne, herunder kontinuerlig eller tidstro dataoverførsel, og for centrale glossarer for semantisk interoperabilitet og for at vedtage fælles specifikationer for intelligente kontrakter. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011.
(87)Denne forordning bør ikke berøre specifikke bestemmelser i EU-retsakter, der angår datadeling mellem virksomheder, mellem virksomheder og forbrugere og mellem virksomheder og offentlige myndigheder, og som blev vedtaget inden datoen for vedtagelsen af denne forordning. For at sikre sammenhæng og et velfungerende indre marked bør Kommissionen, hvor det er relevant, evaluere forholdet mellem denne forordning og de retsakter om dataudveksling, der er vedtaget inden datoen for vedtagelsen af denne forordning, med henblik på at vurdere behovet for at tilpasse disse specifikke bestemmelser til denne forordning. Denne forordning bør ikke berøre regler, der vedrører behov, der er specifikke for individuelle sektorer eller områder af offentlig interesse. Sådanne regler kan omfatte yderligere krav til tekniske aspekter af dataadgangen, f.eks. grænsefladerne for dataadgang, eller hvordan dataadgang kan gives, f.eks. direkte fra produktet eller via dataformidlingstjenester. Sådanne regler kan også omfatte begrænsninger af dataindehavernes ret til adgang til eller anvendelse af brugerdata eller kan omfatte andre aspekter ud over dataadgang og -anvendelse, såsom forvaltningsaspekter. Denne forordning bør heller ikke berøre mere specifikke regler i forbindelse med udviklingen af fælles europæiske dataområder.
(88)Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig traktatens artikel 101 og 102. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med traktaten.
(89)For at give de økonomiske aktører mulighed for at tilpasse sig de nye regler i denne forordning bør de finde anvendelse fra et år efter forordningens ikrafttræden.
(90)Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 og afgav en fælles udtalelse den [XX XX 2022] —
VEDTAGET DENNE FORORDNING:
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand og anvendelsesområde
1.Ved denne forordning fastsættes der harmoniserede regler for at gøre data, der er genereret ved brug af et produkt eller en relateret tjeneste, tilgængelige for brugeren af produktet eller tjenesten, for at gøre data fra dataindehavere tilgængelige for datamodtagere og for at gøre data fra dataindehavere tilgængelige for offentlige myndigheder eller Unionens institutioner, agenturer eller organer med henblik på udførelsen af en opgave i samfundets interesse i tilfælde, hvor der er et ekstraordinært behov:
2.Denne forordning finder anvendelse på:
(a)producenter af produkter og leverandører af relaterede tjenester, som markedsføres i Unionen, og brugerne af sådanne produkter eller tjenester
(b)dataindehavere, der stiller data til rådighed for datamodtagere i Unionen
(c)datamodtagere i Unionen, som dataene stilles til rådighed for
(d)offentlige myndigheder og Unionens institutioner, agenturer eller organer, der anmoder dataindehavere om at stille data til rådighed, hvis der er et ekstraordinært behov for disse data med henblik på udførelse af en opgave i samfundets interesse, og de dataindehavere, der leverer disse data som følge af en sådan anmodning
(e)udbydere af databehandlingstjenester, der tilbyder sådanne tjenester til kunder i Unionen.
3.EU-lovgivningen om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden samt integriteten af terminaludstyr finder anvendelse på personoplysninger, der behandles i forbindelse med de rettigheder og forpligtelser, der er fastsat i denne forordning. Denne forordning berører ikke anvendelsen af EU-lovgivningen om beskyttelse af personoplysninger, navnlig forordning (EU) 2016/679 og direktiv 2002/58/EF, herunder tilsynsmyndighedernes beføjelser og kompetencer. For så vidt angår de rettigheder, der er fastsat i denne forordnings kapitel II, supplerer bestemmelserne i denne forordning retten til dataportabilitet i henhold til artikel 20 i forordning (EU) 2016/679 i de tilfælde, hvor brugerne er registrerede med personoplysninger, der er omfattet af rettighederne og forpligtelserne i nævnte kapitel.
4.Denne forordning berører ikke EU-retsakter, nationale retsakter og internationalt samarbejde om udveksling af, adgang til og anvendelse af data med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder Europa-Parlamentets og Rådets forordning (EU) 2021/784 og [forslaget om elektronisk bevismateriale [COM(2018) 225 og 226], når de er vedtaget. Denne forordning berører ikke indsamling, deling, adgang til og anvendelse af data i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og Europa-Parlamentets og Rådets forordning (EU) 2015/847 om oplysninger, der skal medsendes ved pengeoverførsler. Denne forordning berører ikke medlemsstaternes kompetencer med hensyn til aktiviteter vedrørende offentlig sikkerhed, forsvar, national sikkerhed, told- og skatteforvaltning og borgernes sundhed og sikkerhed i overensstemmelse med EU-retten.
Artikel 2
Definitioner
I denne forordning forstås ved:
(1)"data": enhver digital repræsentation af handlinger, kendsgerninger eller oplysninger og enhver samling af sådanne handlinger, kendsgerninger eller oplysninger, herunder i form af lyd- eller videooptagelser eller audiovisuelle optagelser
(2)"produkt": en materiel løsøregenstand, også hvis den indgår i en stationær genstand, som registrerer, genererer eller indsamler data vedrørende dens anvendelse eller omgivelser, og som er i stand til at kommunikere data via en offentligt tilgængelig elektronisk kommunikationstjeneste, og hvis primære funktion ikke er lagring og behandling af data
(3)"relateret tjeneste": en digital tjeneste, herunder software, som er integreret i eller forbundet med et produkt på en sådan måde, at fraværet heraf ville forhindre produktet i at udføre en af sine funktioner
(4)"virtuelle assistenter": software, der kan behandle instrukser, opgaver eller spørgsmål afgivet bl.a. ved hjælp af tale, skriftligt input, gestik eller bevægelser, og baseret på disse instrukser, opgaver eller spørgsmål give adgang til deres egne og tredjeparters tjenester eller kontrollere deres eget og tredjeparters udstyr
(5)"bruger": en fysisk eller juridisk person, der ejer, lejer eller leaser et produkt eller modtager en tjenesteydelse
(6)"dataindehaver": en juridisk eller fysisk person, der i henhold til denne forordning, gældende EU-ret eller national lovgivning til gennemførelse af EU-retten har ret eller pligt til, eller i tilfælde af andre data end personoplysninger og med det formål at kontrollere produktets og de relaterede tjenesters tekniske udformning har mulighed for, at stille visse data til rådighed
(7)"datamodtager": en juridisk eller fysisk person, der ikke er bruger af et produkt eller en relateret tjeneste, der som led i udøvelsen af sit erhverv, sin forretning, sit håndværk eller sin profession stilles data til rådighed af dataindehaveren, herunder som tredjepart efter anmodning fra brugeren til dataindehaveren eller i overensstemmelse med en retlig forpligtelse i henhold til EU-retten eller national lovgivning til gennemførelse af EU-retten
(8)"virksomhed": en fysisk eller juridisk person, der i forbindelse med kontrakter og praksisser, der er omfattet af denne forordning, handler som led i udøvelsen af sit erhverv, sin forretning, sit håndværk eller sin profession
(9) "offentlig myndighed": nationale, regionale eller lokale myndigheder i medlemsstaterne, offentligretlige organer i medlemsstaterne, sammenslutninger af en eller flere af disse myndigheder eller et eller flere af disse organer
(10)"offentlig nødsituation": en ekstraordinær situation, der har negative virkninger for befolkningen i Unionen, en medlemsstat eller en del heraf, med risiko for alvorlige og varige følgevirkninger for levevilkårene, for den økonomiske stabilitet eller med risiko for en væsentlig forringelse af Unionens eller den eller de relevante medlemsstaters økonomiske aktiver
(11)"behandling": enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som data eller datasæt i elektronisk format gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
(12)"databehandlingstjeneste": en anden digital tjeneste end en onlineindholdstjeneste som defineret i artikel 2, stk. 5, i forordning (EU) 2017/1128, som leveres til en kunde, og som muliggør on demand-administration og en bred fjernadgang til en skalerbar og elastisk pulje af delelige computerressourcer af central, distribueret eller stærkt distribueret karakter
(13)"tjenestetype": en gruppe af databehandlingstjenester, der har samme primære formål og samme grundlæggende databehandlingsmodel
(14)"funktionel ækvivalens": opretholdelse af et minimum af funktionalitet efter et skift til en ny databehandlingstjeneste i et sådant omfang, at den nye tjeneste med brugerinput inden for tjenestens kerneelementer vil levere det samme output ved samme ydeevne og med samme niveau af sikkerhed, operationel modstandsdygtighed og tjenestekvalitet som den oprindelige tjeneste på tidspunktet for kontraktens ophør
(15)"åbne interoperabilitetsspecifikationer": IKT-tekniske specifikationer som defineret i forordning (EU) nr. 1025/2012, som er resultatorienterede med henblik på at opnå interoperabilitet mellem databehandlingstjenester
(16)"intelligent kontrakt": et computerprogram, der er lagret i en elektronisk hovedbog, hvor resultatet af gennemførelsen af programmet registreres i den elektroniske hovedbog
(17)"elektronisk hovedbog": en elektronisk hovedbog som defineret i artikel 3, nr. (53), i forordning (EU) nr. 910/2014
(18)"fælles specifikationer": et dokument, der ikke er en standard, og som indeholder tekniske løsninger, der giver mulighed for at opfylde visse krav og forpligtelser, der er fastsat i denne forordning
(19)"interoperabilitet": evnen hos to eller flere dataområder eller kommunikationsnet, -systemer, -produkter, -applikationer eller -komponenter til at udveksle og anvende data for at kunne udføre deres funktioner
(20)"harmoniseret standard": en harmoniseret standard som defineret i artikel 2, nr. 1), litra c), i forordning (EU) nr. 1025/2012.
KAPITEL II
DATADELING MELLEM VIRKSOMHEDER OG FORBRUGERE OG MELLEM VIRKSOMHEDER
Artikel 3
Forpligtelse til at gøre data, der er genereret ved brug af produkter eller relaterede tjenester, tilgængelige
1.Produkter skal udformes og fremstilles, og relaterede tjenester skal leveres, på en sådan måde, at data, der er genereret ved deres anvendelse, som standard er tilgængelige for brugeren på en let og sikker måde og, hvor det er relevant og hensigtsmæssigt, også på en direkte måde.
2.Inden der indgås en aftale om køb, leje eller leasing af et produkt eller en relateret tjenesteydelse, skal brugeren som minimum oplyses i et klart og forståeligt format om følgende:
(a)typen og mængden af data, der sandsynligvis vil blive genereret ved anvendelsen af produktet eller den relaterede tjenesteydelse
(b)hvorvidt dataene sandsynligvis vil blive genereret kontinuerligt og i realtid
(c)hvordan brugeren kan tilgå disse data
(d)hvorvidt den producent, der leverer produktet, eller den tjenesteudbyder, der leverer den relaterede tjeneste, har til hensigt selv at anvende dataene eller tillade tredjemand at anvende dataene og i givet fald de formål, hvortil disse data vil blive anvendt
(e)hvorvidt sælgeren, udlejeren eller leasinggiveren er dataindehaveren, og, hvis dette ikke er tilfældet, dataindehaverens identitet, f.eks. firmanavn og firmaets fysiske adresse
(f)hvilke kommunikationsmidler brugeren kan anvende til hurtigt at kontakte dataindehaveren og kommunikere effektivt med denne
(g)hvordan brugeren kan anmode om, at dataene deles med tredjepart
(h)brugerens ret til at indgive en klage over overtrædelse af bestemmelserne i dette kapitel til den kompetente myndighed, der er omhandlet i artikel 31.
Artikel 4
Brugerens ret til at tilgå og anvende data, der er genereret ved brug af produkter eller relaterede tjenester
1.Hvis brugeren ikke direkte kan tilgå data fra produktet, stiller dataindehaveren de data, der er genereret ved brug af et produkt eller en relateret tjeneste, gratis til rådighed for brugeren uden unødigt ophold og, hvis det er relevant, kontinuerligt og i realtid. Dette skal ske på grundlag af en simpel anmodning ad elektronisk vej, hvor det er teknisk muligt.
2.Dataindehaveren må ikke kræve, at brugeren skal fremlægge oplysninger ud over, hvad der er nødvendigt for at fastslå egenskaben af bruger i henhold til stk. 1. Dataindehaveren må ikke opbevare oplysninger om brugerens tilgang til de ønskede data ud over, hvad der er nødvendigt for en forsvarlig udførelse af brugerens anmodning og af hensyn til sikkerheden og vedligeholdelsen af datainfrastrukturen.
3.Forretningshemmeligheder må kun videregives, hvis der er truffet alle specifikke nødvendige foranstaltninger for at beskytte fortroligheden, navnlig med hensyn til tredjeparter. Dataindehaveren og brugeren kan aftale at træffe foranstaltninger, der skal sikre fortroligheden af de delte data, navnlig over for tredjeparter.
4.Brugeren må ikke anvende de data, der er indhentet i henhold til en anmodning som omhandlet i stk. 1, til at udvikle et produkt, der konkurrerer med det produkt, som dataene stammer fra.
5.Hvis brugeren ikke er en registreret, må alle personoplysninger, der er genereret ved brug af et produkt eller en relateret tjeneste, kun stilles til rådighed af dataindehaveren for brugeren, hvis der er et gyldigt retsgrundlag i henhold til artikel 6, stk. 1, i forordning (EU) 2016/679, og, hvor det er relevant, betingelserne i artikel 9 i forordning (EU) 2016/679 er opfyldt.
6.Dataindehaveren må kun anvende andre data end personoplysninger, der er genereret ved brug af et produkt eller en relateret tjeneste, på grundlag af en kontrakt med brugeren. Dataindehaveren må ikke anvende sådanne data, der er genereret ved brug af produktet eller den relaterede tjeneste, til at opnå indsigt i brugerens økonomiske situation, aktiver og produktionsmetoder eller anvendelsen af disse på en måde, som kan underminere brugerens forretningsmæssige stilling på de markeder, hvor brugeren er aktiv.
Artikel 5
Ret til at dele data med tredjeparter
1.Efter anmodning fra en bruger eller en part, der handler på dennes vegne, stiller dataindehaveren de data, der er genereret ved brug af et produkt eller en relateret tjeneste, gratis til rådighed for tredjepart uden unødigt ophold og i samme kvalitet, som den dataindehaveren har adgang til og, hvor det er relevant, kontinuerligt og i realtid.
2.Enhver virksomhed, der udbyder centrale platformstjenester, hvoraf en eller flere af disse tjenester er blevet udpeget som gatekeepere i henhold til artikel [...] i [forordning XXX om åbne og retfærdige markeder i den digitale sektor (forordningen om digitale markeder)], må ikke være en berettiget tredjepart i henhold til denne artikel og må derfor ikke:
(a)på nogen måde anmode eller kommercielt tilskynde en bruger, herunder ved at yde økonomisk eller anden godtgørelse, til at stille data, som brugeren har indhentet efter anmodning i henhold til artikel 4, stk. 1, til rådighed for en af virksomhedens tjenester
(b)anmode eller kommercielt tilskynde en bruger til at anmode dataindehaveren om at stille data til rådighed for en af virksomhedens tjenester i henhold til denne artikels stk. 1
(c)modtage data fra en bruger, som brugeren har indhentet efter anmodning i henhold til artikel 4, stk. 1.
3.Bruger eller tredjepart er ikke forpligtet til at fremlægge oplysninger ud over, hvad der er nødvendigt for at fastslå egenskaben af bruger eller tredjepart i henhold til stk. 1. Dataindehaveren må ikke opbevare oplysninger om tredjepartens tilgang til de ønskede data ud over, hvad der er nødvendigt for en forsvarlig udførelse af tredjepartens anmodning og af hensyn til sikkerheden og vedligeholdelsen af datainfrastrukturen.
4.Tredjeparten må ikke anvende tvangsmidler eller misbruge åbenlyse mangler i dataindehaverens tekniske databeskyttelsesinfrastruktur for at få adgang til data.
5.Dataindehaveren må ikke anvende ikke-personoplysninger, der er genereret ved brug af produktet eller den relaterede tjeneste, til at opnå indsigt i tredjepartens økonomiske situation, aktiver og produktionsmetoder eller anvendelsen af disse på en måde, som kan underminere tredjepartens forretningsmæssige stilling på de markeder, hvor tredjeparten er aktiv, medmindre tredjeparten har givet sit samtykke til en sådan anvendelse og har teknisk mulighed for at trække samtykket tilbage på et hvilket som helst tidspunkt.
6.Hvis brugeren ikke er en registreret, må alle personoplysninger, der er genereret ved brug af et produkt eller en relateret tjeneste, kun stilles til rådighed, hvis der er et gyldigt retsgrundlag i henhold til artikel 6, stk. 1, i forordning (EU) 2016/679, og, hvor det er relevant, betingelserne i artikel 9 i forordning (EU) 2016/679 er opfyldt.
7.Enhver uenighed mellem dataindehaver og tredjepart om ordninger for videregivelse af data må ikke berøre, hindre eller gribe ind i den registreredes udøvelse af rettigheder i henhold til forordning (EU) 2016/679, navnlig med hensyn til retten til dataportabilitet i henhold til artikel 20 i nævnte forordning.
8.Forretningshemmeligheder må kun videregives til tredjepart, i det omfang det er strengt nødvendigt for at opfylde det formål, der er aftalt mellem brugeren og tredjeparten, og hvis alle specifikke nødvendige foranstaltninger, der er aftalt mellem dataindehaveren og tredjeparten, træffes af tredjeparten for at sikre den fortrolige behandling af forretningshemmeligheden. I sådanne tilfælde skal dataenes karakter af forretningshemmelighed og foranstaltningerne til sikring af fortroligheden præciseres i aftalen mellem dataindehaveren og tredjeparten.
9.Den ret, der er omhandlet i stk. 1, må ikke krænke andres databeskyttelsesrettigheder.
Artikel 6
Forpligtelser for tredjeparter, der modtager data efter anmodning fra brugeren
1.En tredjepart behandler kun de data, som den har fået stillet til rådighed i henhold til artikel 5, til de formål og på de betingelser, der er aftalt med brugeren, og med forbehold af den registreredes rettigheder for så vidt angår personoplysninger, og sletter dataene, når de ikke længere er nødvendige til det aftalte formål.
2.Tredjeparten må ikke:
(a)tvinge, vildlede eller manipulere brugeren på nogen måde ved at undergrave eller begrænse brugerens autonomi, beslutningstagning eller valgmuligheder, herunder ved hjælp af en digital grænseflade med brugeren
(b)anvende de modtagne data til profilering af fysiske personer som omhandlet i artikel 4, stk. 4, i forordning (EU) 2016/679, medmindre det er nødvendigt for at levere den tjeneste, som brugeren har anmodet om
(c)stille de modtagne data til rådighed for en anden tredjepart i uforarbejdet, aggregeret eller afledt form, medmindre dette er nødvendigt for at levere den tjeneste, som brugeren har anmodet om
(d)stille de modtagne data til rådighed for en virksomhed, der udbyder centrale platformstjenester, hvoraf en eller flere af disse tjenester er blevet udpeget som gatekeepere i henhold til artikel [...] i [forordningen om åbne og retfærdige markeder i den digitale sektor (forordningen om digitale markeder)]
(e)anvende de modtagne data til at udvikle et produkt, der konkurrerer med det produkt, som de modtagne data stammer fra, eller dele dataene med en anden tredjepart til dette formål
(f)forhindre brugeren, herunder gennem kontraktlige forpligtelser, i at stille de data, som vedkommende modtager, til rådighed for andre parter.
Artikel 7
Omfanget af forpligtelser vedrørende datadeling mellem virksomheder og forbrugere og mellem virksomheder
1.Forpligtelserne i dette kapitel finder ikke anvendelse på data genereret ved brug af produkter eller relaterede tjenester, der fremstilles eller leveres af virksomheder, der betragtes som mikrovirksomheder eller små virksomheder som defineret i artikel 2 i bilaget til henstilling 2003/361/EF, forudsat at disse virksomheder ikke har partnervirksomheder eller tilknyttede virksomheder som defineret i artikel 3 i bilaget til henstilling 2003/361/EF, der ikke kan betragtes som mikrovirksomheder eller små virksomheder.
2.Når der i denne forordning henvises til produkter eller relaterede tjenester, omfatter en sådan henvisning også virtuelle assistenter, for så vidt som de bruges til at tilgå eller kontrollere et produkt eller en relateret tjeneste.
KAPITEL III
FORPLIGTELSER FOR DATAINDEHAVERE, DER ER RETLIGT FORPLIGTEDE TIL AT STILLE DATA TIL RÅDIGHED
Artikel 8
Betingelser, hvorunder dataindehavere stiller data til rådighed for datamodtagere
1.Hvis en dataindehaver er forpligtet til at stille data til rådighed for en datamodtager i henhold til artikel 5 eller anden EU-lovgivning eller national lovgivning til gennemførelse af EU-retten, skal dette ske på fair, rimelige og ikkediskriminerende vilkår og på en gennemsigtig måde i overensstemmelse med bestemmelserne i dette kapitel og kapitel IV.
2.Vilkårene for at stille data til rådighed aftales mellem dataindehaver og datamodtager. Et aftalevilkår om adgang til og anvendelse af data eller om ansvar og retsmidler i forbindelse med brud på eller ophør af datarelaterede forpligtelser er ikke bindende, hvis det opfylder betingelserne i artikel 13, eller hvis det udelukker anvendelsen af, fraviger eller ændrer virkningen af brugerens rettigheder i henhold til kapitel II.
3.Når en dataindehaver gør data tilgængelige, må denne ikke diskriminere mellem sammenlignelige kategorier af datamodtagere, herunder dataindehaverens partnervirksomheder eller tilknyttede virksomheder som defineret i artikel 3 i bilaget til henstilling 2003/361/EF. Hvis en datamodtager mener, at de betingelser, hvorunder den pågældende har fået dataene stillet til rådighed, er diskriminerende, er det dataindehaverens ansvar at påvise, at tilrådighedsstillelsen ikke er diskriminerende.
4.En dataindehaver må ikke stille data til rådighed med eneret for en datamodtager, medmindre brugeren anmoder herom i henhold til kapitel II.
5.Dataindehavere og datamodtagere er ikke forpligtede til at give oplysninger ud over, hvad der er nødvendigt for at kontrollere overholdelsen af de aftalte vilkår for dataenes tilrådighedsstillelse eller for at kontrollere overholdelsen af deres forpligtelser i henhold til denne forordning eller anden gældende EU-ret eller national lovgivning til gennemførelse af EU-retten.
6.Medmindre andet er fastsat i EU-retten, herunder artikel 6 i denne forordning, eller i national lovgivning til gennemførelse af EU-retten, indebærer en forpligtelse til at stille data til rådighed for en datamodtager ikke, at forretningshemmeligheder som omhandlet i direktiv (EU) 2016/943 skal videregives.
Artikel 9
Godtgørelse for at stille data til rådighed
1.Enhver godtgørelse, der aftales mellem en dataindehaver og en datamodtager for at stille data til rådighed, skal være rimelig.
2.Hvis datamodtageren er en mikrovirksomhed eller en SMV som defineret i artikel 2 i bilaget til henstilling 2003/361/EF, må den aftalte godtgørelse ikke overstige de omkostninger, der er direkte forbundet med at stille dataene til rådighed for datamodtageren, og som kan henføres til anmodningen om data. Artikel 8, stk. 3, finder tilsvarende anvendelse.
3.Denne artikel er ikke til hinder for, at anden EU-lovgivning eller national lovgivning, der gennemfører EU-retten, udelukker godtgørelse for at stille data til rådighed eller fastsætter en lavere godtgørelse.
4.Dataindehaveren skal oplyse datamodtageren om grundlaget for beregningen af godtgørelsen i tilstrækkelig detaljeret grad til, at datamodtageren kan kontrollere, om kravene i stk. 1 og, hvor det er relevant, stk. 2, er opfyldt.
Artikel 10
Tvistbilæggelse
1.Dataindehavere og datamodtagere skal have adgang til tvistbilæggelsesorganer, der er certificerede i overensstemmelse med denne artikels stk. 2, for at kunne bilægge tvister i forbindelse med fastsættelsen af fair, rimelige og ikkediskriminerende vilkår for og en gennemsigtig måde at stille data til rådighed på i overensstemmelse med artikel 8 og 9.
2.Den medlemsstat, hvori tvistbilæggelsesorganet er etableret, certificerer organet efter dettes anmodning, hvis det har godtgjort, at det opfylder alle følgende betingelser:
(a)det er upartisk og uafhængigt, og det træffer sine afgørelser i overensstemmelse med klare og retfærdige procedureregler
(b)det har den nødvendige ekspertise med hensyn til at fastsætte fair, rimelige og ikkediskriminerende vilkår for og en gennemsigtig måde at stille data til rådighed på, således at organet effektivt kan fastsætte disse vilkår
(c)det er let at kontakte ved hjælp af elektronisk kommunikation
(d)det er i stand til at træffe sine afgørelser på en hurtig og omkostningseffektiv måde og på mindst ét af Unionens officielle sprog.
Hvis der ikke er et certificeret tvistbilæggelsesorgan i en medlemsstat senest den [forordningens anvendelsesdato], opretter og certificerer den pågældende medlemsstat et sådant organ, der opfylder betingelserne i dette stykkes litra a)-d).
3.Medlemsstaterne underretter Kommissionen om de tvistbilæggelsesorganer, der er certificeret i henhold til stk. 2. Kommissionen offentliggør på sit websted en ajourført liste over disse organer.
4.Et tvistbilæggelsesorgan skal gøre de berørte parter bekendt med dets gebyrer eller med de mekanismer, der anvendes til at fastsætte gebyrerne, inden disse parter anmoder om en afgørelse.
5.Et tvistbilæggelsesorgan skal afvise at behandle en anmodning om bilæggelse af en tvist, der allerede er indbragt for et andet tvistbilæggelsesorgan eller for en domstol i en medlemsstat.
6.Tvistbilæggelsesorganet skal give parterne mulighed for inden for en rimelig frist at fremsætte deres synspunkter vedrørende den sag, som parterne har indbragt for organet. Organet skal give parterne adgang til den anden parts indlæg og til eventuelle ekspertudtalelser. Organet skal give parterne mulighed for at fremsætte bemærkninger til disse indlæg og udtalelser.
7.Tvistbilæggelsesorganet skal træffe afgørelse i de sager, der indbringes for det, senest 90 dage efter, at anmodningen om en afgørelse er fremsat. Disse afgørelser skal være skriftlige eller på et varigt medium og skal understøttes af en begrundelse til støtte for afgørelsen.
8.Tvistbilæggelsesorganets afgørelse er kun bindende for parterne, hvis parterne udtrykkeligt har givet deres samtykke til dens bindende karakter, inden tvistbilæggelsesproceduren indledes.
9.Denne artikel berører ikke parternes ret til adgang til effektive retsmidler for en domstol i en medlemsstat.
Artikel 11
Tekniske beskyttelsesforanstaltninger og bestemmelser om uautoriseret anvendelse eller videregivelse af data
1.Dataindehaveren kan anvende passende tekniske beskyttelsesforanstaltninger, herunder intelligente kontrakter, for at forhindre uautoriseret adgang til dataene og sikre overholdelse af artikel 5, 6, 9 og 10 samt af de aftalte vilkår for at stille data til rådighed. Sådanne tekniske beskyttelsesforanstaltninger må ikke anvendes som et middel til at hindre brugerens ret til effektivt at levere data til tredjeparter i henhold til artikel 5, eller til at svække en tredjeparts rettigheder i henhold til EU-retten eller national lovgivning til gennemførelse af EU-retten, jf. artikel 8, stk. 1.
2.Hvis en datamodtager med henblik på indhentning af data har givet unøjagtige eller urigtige oplysninger til dataindehaveren, har vildledt eller tvunget, har misbrugt åbenlyse mangler i dataindehaverens tekniske infrastruktur, der har til formål at beskytte data, har anvendt de indhentede data til uautoriserede formål eller har videregivet disse data til en anden part uden dataindehaverens tilladelse, er denne, uden unødigt ophold og medmindre dataindehaveren eller brugeren afgiver instrukser om andet, forpligtet til at:
(a)destruere de data, som dataindehaveren har stillet til rådighed, samt alle kopier heraf
(b)bringe produktion, udbud, markedsføring eller anvendelse af varer, afledte data eller tjenester, der er fremstillet på grundlag af viden, der er opnået ved hjælp af sådanne data til ophør, samt bringe import, eksport eller oplagring af sådanne uretmæssige varer til ophør og destruere alle uretmæssige varer.
3.Stk. 2, litra b), finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
(a)anvendelsen af dataene har ikke forvoldt dataindehaveren væsentlig skade
(b)det ville være uforholdsmæssigt i forhold til dataindehaverens interesser.
Artikel 12
Omfanget af forpligtelser for dataindehavere, der er retligt forpligtede til at stille data til rådighed
1.Dette kapitel finder anvendelse, når en dataindehaver er forpligtet til at stille data til rådighed for en datamodtager i henhold til artikel 5, EU-retten eller national lovgivning til gennemførelse af EU-retten.
2.Aftalevilkår i en aftale om datadeling, som til skade for en part eller, hvis det er relevant, til skade for brugeren udelukker anvendelsen af dette kapitel, fraviger det eller ændrer dets virkning, er ikke bindende for den pågældende part.
3.Dette kapitel finder kun anvendelse i forbindelse med forpligtelser til at stille data til rådighed i henhold til EU-retten eller national lovgivning til gennemførelse af EU-retten, som træder i kraft efter den [forordningens anvendelsesdato].
KAPITEL IV
URIMELIGE VILKÅR VEDRØRENDE DATAADGANG OG -ANVENDELSE MELLEM VIRKSOMHEDER
Artikel 13
Urimelige aftalevilkår, der ensidigt påtvinges mikrovirksomheder eller små eller mellemstore virksomheder
1.Et aftalevilkår om adgang til og anvendelse af data eller om ansvar og retsmidler i forbindelse med brud på eller ophør af datarelaterede forpligtelser, som en virksomhed ensidigt har påtvunget en mikrovirksomhed eller en SMV som defineret i artikel 2 i bilaget til henstilling 2003/361/EF, er ikke bindende for sidstnævnte virksomhed, hvis det er urimeligt.
2.Et aftalevilkår er urimeligt, hvis det er af en sådan art, at dets anvendelse klart afviger fra god handelspraksis med hensyn til dataadgang og -anvendelse og er i modstrid med god tro og redelig handlemåde.
3.I denne artikel anses et aftalevilkår for at være urimeligt, hvis dets genstand eller virkning er:
(a)at udelukke eller begrænse ansvaret for forsætlige handlinger eller grov uagtsomhed for den part, der ensidigt har påtvunget vilkåret
(b)at udelukke de retsmidler, som den part, der ensidigt er blevet påtvunget vilkåret, har til rådighed, i tilfælde af den påtvingende parts manglende opfyldelse af kontraktlige forpligtelser eller misligholdelse af disse forpligtelser
(c)at give den part, der ensidigt har påtvunget vilkåret, eneret til at afgøre, om de leverede data opfylder aftalevilkårene, eller at give denne eneret til at fortolke det enkelte aftalevilkår.
4.I denne artikel formodes et aftalevilkår at være urimeligt, hvis dets genstand eller virkning er:
(a)uretmæssigt at begrænse retsmidlerne i tilfælde af manglende opfyldelse af kontraktlige forpligtelser eller uretmæssigt at begrænse ansvaret i tilfælde af misligholdelse af disse forpligtelser
(b)at give den part, der ensidigt har påtvunget vilkåret, tilladelse til at tilgå og anvende den anden parts data på en måde, der er til betydelig skade for den anden parts legitime interesser
(c)at forhindre den part, som er blevet ensidigt påtvunget vilkåret, i at anvende de data, som denne part har leveret eller genereret i løbet af aftalens gyldighedsperiode, eller at begrænse anvendelsen af sådanne data i et sådant omfang, at denne part ikke har ret til at anvende, indsamle, få adgang til eller kontrollere sådanne data eller udnytte værdien af sådanne data på en forholdsmæssig måde
(d)at forhindre den part, som er blevet ensidigt påtvunget vilkåret, i at få udleveret en kopi af de data, som denne part har leveret eller genereret i løbet af aftalens gyldighedsperiode eller inden for en rimelig frist efter dens ophør
(e)at give den part, der ensidigt har påtvunget vilkåret, mulighed for at opsige aftalen med urimeligt kort varsel, under hensyntagen til den anden parts rimelige muligheder for at skifte til en alternativ og sammenlignelig tjeneste og den økonomiske skade, som en sådan opsigelse forvolder, medmindre der er tungtvejende grunde hertil.
5.Et aftalevilkår anses for at være ensidigt påtvunget i henhold til denne artikel, hvis det er fastsat af en af de kontraherende parter, og den anden kontraherende part ikke har kunnet påvirke dets indhold på trods af et forsøg på at forhandle om vilkåret. Det påhviler den af de kontraherende parter, der har fastsat et kontraktvilkår, at bevise, at dette vilkår ikke er ensidigt påtvunget.
6.Hvis det urimelige aftalevilkår kan adskilles fra de øvrige aftalevilkår, forbliver disse øvrige aftalevilkår bindende.
7.Denne artikel finder ikke anvendelse på aftalevilkår, der definerer aftalens hovedgenstand, eller på aftalevilkår, der fastsætter den pris, der skal betales.
8.De kontraherende parter i en aftale, der er omfattet af stk. 1, kan ikke udelukke anvendelsen af, fravige eller ændre virkningerne af denne artikel.
KAPITEL V
TILRÅDIGHEDSSTILLELSE AF DATA FOR OFFENTLIGE MYNDIGHEDER OG UNIONENS INSTITUTIONER, AGENTURER ELLER ORGANER PÅ GRUNDLAG AF ET EKSTRAORDINÆRT BEHOV
Artikel 14
Forpligtelse til at stille data til rådighed på grundlag af et ekstraordinært behov
1.Efter anmodning stiller en dataindehaver data til rådighed for en offentlig myndighed eller for Unionens institutioner, agenturer eller organer, hos hvilken der foreligger et ekstraordinært behov for at anvende de ønskede data.
2.Dette kapitel finder ikke anvendelse på små virksomheder og mikrovirksomheder som defineret i artikel 2 i bilaget til henstilling 2003/361/EF.
Artikel 15
Ekstraordinært behov for at anvende data
Et ekstraordinært behov for at anvende data i henhold til dette kapitel anses for at foreligge under enhver af følgende omstændigheder:
(a)de data, der anmodes om, er nødvendige for at reagere på en offentlig nødsituation
(b)dataanmodningen er begrænset i tid og omfang og er nødvendig for at forebygge en offentlig nødsituation eller bidrage til genopretningen efter en offentlig nødsituation
(c)manglen på tilgængelige data forhindrer den offentlige myndighed eller Unionens institution, agentur eller organ i at udføre en specifik opgave i offentlighedens interesse, som udtrykkeligt er fastsat ved lov, og hvor
(1)den offentlige myndighed eller Unionens institution, agentur eller organ ikke har været i stand til at indhente sådanne data på alternative måder, herunder ved at købe data på markedet til markedspriser eller ved at forlade sig på eksisterende forpligtelser til at stille data til rådighed, og vedtagelsen af nye lovgivningsmæssige foranstaltninger ikke kan sikre rettidig tilgængelighed af dataene, eller
(2)indhentningen af dataene i overensstemmelse med proceduren i dette kapitel i væsentlig grad mindsker den administrative byrde for dataindehavere eller andre virksomheder.
Artikel 16
Sammenhæng med andre forpligtelser til at stille data til rådighed for offentlige myndigheder og Unionens institutioner, agenturer og organer
1.Dette kapitel berører ikke de forpligtelser, der er fastsat i EU-retten eller national ret med henblik på indberetning, efterkommelse af anmodninger om oplysninger eller påvisning eller verifikation af overholdelse af retlige forpligtelser.
2.Rettighederne i henhold til dette kapitel må ikke udøves af offentlige myndigheder og Unionens institutioner, agenturer og organer med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafferetlige eller administrative overtrædelser eller fuldbyrdelse af strafferetlige sanktioner eller told- og skatteforvaltning. Dette kapitel berører ikke gældende EU-ret og national ret om forebyggelse, efterforskning, afsløring eller retsforfølgning af strafferetlige eller administrative overtrædelser eller fuldbyrdelse af strafferetlige eller administrative sanktioner eller om told- og skatteforvaltning.
Artikel 17
Anmodninger om at få stillet data til rådighed
1.Når offentlige myndigheder eller Unionens institutioner, agenturer eller organer anmoder om data i henhold til artikel 14, stk. 1, skal de:
(a)præcisere, hvilke data der er nødvendige
(b)påvise det ekstraordinære behov for dataene
(c)forklare formålet med anmodningen, den påtænkte anvendelse af de data, der anmodes om, og varigheden af denne anvendelse
(d)angive retsgrundlaget for dataanmodningen
(e)angive fristen, inden for hvilken dataene skal stilles til rådighed, eller inden for hvilken dataindehaveren kan anmode den offentlige myndighed eller Unionens institution, agentur eller organ om at ændre anmodningen eller trække den tilbage.
2.En anmodning om data i henhold til denne artikels stk. 1 skal:
(a)være formuleret i et klart, koncist og almindeligt sprog, der er forståeligt for dataindehaveren
(b)stå i et rimeligt forhold til det ekstraordinære behov med hensyn til de ønskede datas detaljeringsgrad, mængde og tilgangshyppighed
(c)respektere dataindehaverens legitime mål under hensyntagen til beskyttelsen af forretningshemmeligheder og de omkostninger og den indsats, der kræves for at stille dataene til rådighed
(d)så vidt muligt vedrøre andre data end personoplysninger
(e)informere dataindehaveren om de sanktioner, der i tilfælde af manglende overholdelse af anmodningen pålægges i henhold til artikel 33 af en kompetent myndighed, som omhandlet i artikel 31
(f)offentliggøres online uden unødigt ophold.
3.En offentlig myndighed eller en af Unionens institutioner, agenturer eller organer må ikke stille data, der er indhentet i henhold til dette kapitel, til rådighed for videreanvendelse som defineret i direktiv (EU) 2019/1024. Direktiv (EU) 2019/1024 finder ikke anvendelse på data, som offentlige myndigheder er i besiddelse af i henhold til dette kapitel.
4.Stk. 3 er ikke til hinder for, at en offentlig myndighed eller Unionens institutioner, agenturer eller organer udveksler data, der er indhentet i henhold til dette kapitel, med en anden offentlig myndighed eller andre af Unionens institutioner, agenturer eller organer med henblik på at udføre opgaverne i artikel 15, eller stiller dataene til rådighed for tredjepart i tilfælde, hvor tekniske inspektioner eller andre funktioner ved hjælp af en offentlig aftale er outsourcet til denne tredjepart. De forpligtelser, der påhviler offentlige myndigheder og Unionens institutioner, agenturer og organer i henhold til artikel 19, finder anvendelse.
Hvis en offentlig myndighed eller Unionens institutioner, agenturer eller organer transmitterer eller stiller data til rådighed i henhold til dette stykke, underrettes dataindehaveren om, fra hvem dataene er modtaget.
Artikel 18
Efterkommelse af anmodninger om data
1.En dataindehaver, der modtager en anmodning om adgang til data i henhold til dette kapitel, stiller dataene til rådighed for den anmodende offentlige myndighed eller Unionens institutioner, agenturer eller organer uden unødigt ophold.
2.Uden at det berører specifikke behov vedrørende tilgængeligheden af data som defineret i sektorlovgivningen, kan dataindehaveren inden for 5 arbejdsdage efter modtagelsen af en anmodning om data, der er nødvendige for at reagere på en offentlig nødsituation, og inden for 15 arbejdsdage i andre tilfælde af ekstraordinære behov, afslå anmodningen eller anmode om en ændring af anmodningen af en af følgende grunde:
(a)dataene er ikke tilgængelige
(b)anmodningen opfylder ikke betingelserne i artikel 17, stk. 1, og stk. 2.
3.I tilfælde af en anmodning om data, der er nødvendige for at reagere på en offentlig nødsituation, kan dataindehaveren også afslå eller anmode om ændring af anmodningen, hvis dataindehaveren allerede har stillet de ønskede data til rådighed som svar på en tidligere indgivet anmodning til samme formål fra en anden offentlig myndighed eller andre af Unionens institutioner, agenturer eller organer, og dataindehaveren ikke er blevet underrettet om destrueringen af dataene i henhold til artikel 19, stk. 1, litra c).
4.Hvis dataindehaveren beslutter at afslå eller anmode om ændring af anmodningen i overensstemmelse med stk. 3, skal dataindehaveren angive, hvilken anden offentlig myndighed eller anden af Unionens institutioner, agenturer eller organer der tidligere har indgivet en anmodning til samme formål.
5.Hvis efterkommelsen af anmodningen om at stille data til rådighed for en offentlig myndighed eller af Unionens institutioner, agenturer eller organer kræver videregivelse af personoplysninger, skal dataindehaveren gøre en rimelig indsats for at pseudonymisere dataene, for så vidt som anmodningen kan imødekommes med pseudonymiserede data.
6.Hvis den offentlige myndighed eller Unionens institutioner, agenturer eller organer ønsker at anfægte en dataindehavers afslag på eller anmodning om ændring af anmodningen om data, eller hvis dataindehaveren ønsker at anfægte anmodningen, forelægges sagen for den kompetente myndighed, der er omhandlet i artikel 31.
Artikel 19
Forpligtelser for offentlige myndigheder og Unionens institutioner, agenturer og organer
1.Når offentlige myndigheder eller Unionens institutioner, agenturer eller organer har modtaget data i henhold til artikel 14, skal de:
(a)ikke anvende dataene på måder, der er uforenelige med det formål, hvortil de blev anmodet
(b)i det omfang behandlingen af personoplysninger er nødvendig, gennemføre tekniske og organisatoriske foranstaltninger, der beskytter de registreredes rettigheder og frihedsrettigheder
(c)destruere dataene, så snart de ikke længere er nødvendige til det angivne formål, og underrette dataindehaveren om, at dataene er blevet destrueret.
2.Videregivelse af forretningshemmeligheder eller påståede forretningshemmeligheder til en offentlig myndighed eller Unionens institutioner, agenturer eller organer er kun påkrævet i det omfang, det er strengt nødvendigt for at opfylde formålet med anmodningen. I så fald træffer den offentlige myndighed eller Unionens institution, agentur eller organ passende foranstaltninger for at sikre fortroligheden af disse forretningshemmeligheder.
Artikel 20
Godtgørelse i tilfælde af et ekstraordinært behov
1.Data, der stilles til rådighed for at reagere på en offentlig nødsituation i henhold til artikel 15, litra a), stilles til rådighed vederlagsfrit.
2.Hvis dataindehaveren kræver godtgørelse for at efterkomme en anmodning om at stille data til rådighed i henhold til artikel 15, litra b) eller c), må en sådan godtgørelse ikke overstige de tekniske og organisatoriske omkostninger, der er afholdt for at efterkomme anmodningen, herunder om nødvendigt omkostningerne til anonymisering og teknisk tilpasning, plus en rimelig margen. Efter anmodning fra den offentlige myndighed eller den eller det af Unionens institutioner, agenturer eller organer, der anmoder om dataene, fremlægger dataindehaveren oplysninger om beregningen af omkostningerne og den rimelige margen.
Artikel 21
Forskningsinstitutioners eller statistiske kontorers deltagelse i forbindelse med ekstraordinære behov
1.En offentlig myndighed eller Unionens institutioner, agenturer eller organer har ret til at dele data modtaget i henhold til dette kapitel med enkeltpersoner eller organisationer med henblik på at udføre videnskabelig forskning eller analyse, der er forenelig med det formål, hvortil der blev anmodet om dataene, eller med nationale statistiske kontorer og Eurostat med henblik på udarbejdelse af officielle statistikker.
2.Enkeltpersoner eller organisationer, der modtager data i henhold til stk. 1, handler uden gevinst for øje eller i forbindelse med en almennyttig opgave, der er anerkendt i henhold til EU-retten eller en medlemsstats nationale ret. Dette omfatter ikke organisationer, som kommercielle virksomheder har afgørende indflydelse på, eller som kan give privilegeret adgang til forskningsresultaterne.
3.Enkeltpersoner eller organisationer, der modtager data i henhold til stk. 1, skal overholde bestemmelserne i artikel 17, stk. 3, og artikel 19.
4.Hvis en offentlig myndighed eller Unionens institutioner, agenturer eller organer transmitterer eller stiller data til rådighed i henhold til stk. 1, underrettes dataindehaveren om, fra hvem dataene er modtaget.
Artikel 22
Gensidig bistand og grænseoverskridende samarbejde
1.Offentlige myndigheder og Unionens institutioner, agenturer og organer samarbejder og bistår hinanden med henblik på at gennemføre bestemmelserne i dette kapitel på en sammenhængende måde.
2.Data, der udveksles i forbindelse med den bistand, der anmodes om og ydes i henhold til stk. 1, må ikke anvendes på en måde, der er uforenelig med det formål, hvortil de blev anmodet.
3.Hvis en offentlig myndighed har til hensigt at anmode om data fra en dataindehaver, der er etableret i en anden medlemsstat, underretter den først den kompetente myndighed i den pågældende medlemsstat om denne hensigt, jf. artikel 31. Dette finder også anvendelse på anmodninger fra Unionens institutioner, agenturer og organer.
4.Efter at være blevet underrettet i overensstemmelse med stk. 3 rådgiver den relevante kompetente myndighed den anmodende offentlige myndighed om et eventuelt behov for at samarbejde med offentlige myndigheder i den medlemsstat, hvor dataindehaveren er etableret, med henblik på at mindske den administrative byrde for dataindehaveren ved efterkommelse af anmodningen. Den anmodende offentlige myndighed tager hensyn til rådgivningen fra den relevante kompetente myndighed.
KAPITEL VI
SKIFT MELLEM DATABEHANDLINGSTJENESTER
Artikel 23
Fjernelse af hindringer for effektive skift mellem udbydere af databehandlingstjenester
1.Udbydere af databehandlingstjenester træffer de foranstaltninger, der er fastsat i artikel 24, 25 og 26, for at sikre, at deres kunder kan skifte til en anden databehandlingstjeneste, der dækker samme tjenestetype, og som leveres af en anden tjenesteudbyder. Udbydere af databehandlingstjenester skal navnlig fjerne handelsmæssige, tekniske, kontraktmæssige og organisatoriske hindringer, som forhindrer kunder i at:
(a)bringe den kontraktlige aftale om tjenesteydelsen til ophør med et opsigelsesvarsel på højst 30 kalenderdage
(b)indgå nye kontraktlige aftaler med en anden udbyder af databehandlingstjenester, der dækker samme tjenestetype
(c)overføre deres data, applikationer og andre digitale aktiver til en anden udbyder af databehandlingstjenester
(d)opretholde tjenestens funktionelle ækvivalens i IT-miljøet hos andre udbydere af databehandlingstjenester, der dækker den samme tjenestetype, i overensstemmelse med artikel 26.
2.Stk. 1 finder kun anvendelse på hindringer, der vedrører den oprindelige udbyders tjenesteydelser, kontraktlige aftaler eller handelspraksis.
Artikel 24
Aftalevilkår i forbindelse med skift mellem udbydere af databehandlingstjenester
1.Kundens rettigheder og de forpligtelser, der påhviler udbyderen af en databehandlingstjeneste i forbindelse med skift mellem udbydere af sådanne tjenester, skal fremgå klart af en skriftlig aftale. Uden at det berører direktiv (EU) 2019/770 skal aftalen mindst indeholde følgende:
(a)bestemmelser, der gør det muligt for kunden efter anmodning at skifte til en databehandlingstjeneste, der tilbydes af en anden leverandør af databehandlingstjenester, eller at overføre alle data, applikationer og digitale aktiver, der er genereret direkte eller indirekte af kunden, til et eksternt system, og som navnlig omhandler den obligatoriske indførelse af en overgangsperiode på højst 30 kalenderdage, hvori udbyderen af databehandlingstjenesten skal:
(1)være behjælpelig med og, hvor det er teknisk muligt, fuldføre skifteprocessen
(2)sikre fuld kontinuitet i leveringen af de respektive funktioner eller tjenester.
(b)en udtømmende specifikation af alle kategorier af data og applikationer, der kan eksporteres under skiftet, herunder som minimum alle data, som kunden importerede ved indgåelsen af serviceaftalen, og alle data og metadata, der er genereret af kunden og ved brug af tjenesten i den periode, hvor tjenesten blev leveret, herunder, men ikke begrænset til, konfigurationsparametre, sikkerhedsindstillinger, adgangsrettigheder og adgangslogfiler til tjenesten
(c)en minimumsperiode for dataudtræk på mindst 30 kalenderdage begyndende efter udløbet af den overgangsperiode, der er aftalt mellem kunden og tjenesteudbyderen i overensstemmelse med stk. 1, litra a), og stk. 2.
2.Hvis den obligatoriske overgangsperiode som defineret i denne artikels stk. 1, litra a) og c), ikke er teknisk gennemførlig, underretter udbyderen af databehandlingstjenesten kunden senest 7 arbejdsdage efter, at anmodningen om skift er indgivet, og begrunder behørigt den tekniske umulighed med en detaljeret rapport og angiver en alternativ overgangsperiode, som ikke må overstige 6 måneder. I overensstemmelse med denne artikels stk. 1 skal der sikres fuld driftskontinuitet i hele den alternative overgangsperiode mod nedsatte gebyrer, jf. artikel 25, stk. 2.
Artikel 25
Gradvis fjernelse af gebyrer for skift
1.Fra den [dato X + 3 år] og fremefter må udbydere af databehandlingstjenester ikke opkræve gebyrer af kunden for skift.
2.Fra den [dato X, datoen for dataforordningens ikrafttræden] til [dato X + 3 år] kan udbydere af databehandlingstjenester pålægge kunden nedsatte gebyrer for skift.
3.De gebyrer, der er omhandlet i stk. 2, må ikke overstige de omkostninger, som udbyderen af databehandlingstjenesten har afholdt, og som er direkte forbundet med det pågældende skift.
4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med henblik på at supplere denne forordning med indførelsen af en overvågningsmekanisme, således at Kommissionen kan overvåge de gebyrer for skift, der pålægges af udbydere af databehandlingstjenester på markedet, for at sikre, at tilbagetrækningen af gebyrer for skift som beskrevet i denne artikels stk. 1 vil blive gennemført inden for den frist, der er fastsat i samme stykke.
Artikel 26
Tekniske aspekter af skift
1.Udbydere af databehandlingstjenester, der vedrører skalerbare og elastiske computerressourcer, der er begrænset til infrastrukturelle elementer såsom servere, netværk og de virtuelle ressourcer, der er nødvendige for at drive infrastrukturen, men som ikke giver adgang til driftstjenester, software og applikationer, der lagres, på anden måde behandles eller anvendes på disse infrastrukturelle elementer, skal sikre, at kunden efter at have skiftet til en tjeneste, der dækker den samme tjenestetype, som tilbydes af en anden udbyder af databehandlingstjenester, har funktionel ækvivalens i anvendelsen af den nye tjeneste.
2.For andre databehandlingstjenester end dem, der er omfattet af stk. 1, skal udbydere af databehandlingstjenester stille åbne grænseflader offentligt til rådighed uden vederlag.
3.For andre databehandlingstjenester end dem, der er omfattet af stk. 1, skal udbydere af databehandlingstjenester sikre kompatibilitet med åbne interoperabilitetsspecifikationer eller europæiske standarder for interoperabilitet, der er identificeret i overensstemmelse med artikel 29, stk. 5, i denne forordning.
4.Hvis der ikke findes åbne interoperabilitetsspecifikationer eller europæiske standarder som omhandlet i stk. 3 for den pågældende tjenestetype, skal udbyderen af databehandlingstjenesten på kundens anmodning eksportere alle data, der genereres eller medgenereres, herunder de relevante dataformater og datastrukturer, i et struktureret, almindeligt anvendt og maskinlæsbart format.
KAPITEL VII
BESKYTTELSE AF ANDRE DATA END PERSONOPLYSNINGER I INTERNATIONALE SAMMENHÆNGE
Artikel 27
International adgang og overførsel
1.Udbydere af databehandlingstjenester træffer alle rimelige tekniske, retlige og organisatoriske foranstaltninger, herunder kontraktlige ordninger, for at forhindre international overførsel eller statslig adgang til andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller den relevante medlemsstats nationale ret, uden at det berører stk. 2 eller 3.
2.Enhver afgørelse eller kendelse afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en udbyder af databehandlingstjenester overfører eller giver adgang til andre data end personoplysninger, der er lagret i Unionen, og som er omfattet af denne forordnings anvendelsesområde, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en sådan aftale mellem det anmodende tredjeland og en medlemsstat.
3.Hvis der ikke foreligger en sådan international aftale, og en udbyder af databehandlingstjenester er adressat for en afgørelse truffet af en domstol eller ret eller en afgørelse truffet af en administrativ myndighed i et tredjeland om at overføre eller give adgang til andre data end personoplysninger, der er lagret i Unionen, og som er omfattet af denne forordnings anvendelsesområde, og hvis overholdelsen af en sådan afgørelse risikerer at medføre, at adressaten handler i strid med EU-retten eller national ret i den relevante medlemsstat, må overførslen af sådanne data til den pågældende tredjelandsmyndighed eller dennes adgang til sådanne data kun finde sted:
(a)hvis tredjelandets system kræver, at afgørelsen eller kendelsen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet, og at det kræves, at afgørelsen eller kendelsen, alt efter omstændighederne, skal være af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser
(b)hvis adressatens begrundede indsigelse kan prøves ved en kompetent domstol eller ret i tredjelandet, og
(c)hvis den kompetente domstol, der udsteder afgørelsen eller kendelsen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende lands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, der er beskyttet af EU-retten eller national ret i den relevante medlemsstat.
Adressaten for afgørelsen kan anmode om en udtalelse fra de relevante kompetente organer eller myndigheder i henhold til denne forordning med henblik på at fastslå, om disse betingelser er opfyldt, navnlig hvis den finder, at afgørelsen kan vedrøre forretningsmæssigt følsomme oplysninger eller kan påvirke Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser.
Det Europæiske Datainnovationsråd, der er oprettet ved forordning [xxx — DGA], rådgiver og bistår Kommissionen med at udarbejde retningslinjer for vurderingen af, om disse betingelser er opfyldt.
4.Hvis betingelserne i stk. 2 eller 3 er opfyldt, skal udbyderen af databehandlingstjenester levere den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af anmodningen.
5.Udbyderen af databehandlingstjenester underretter dataindehaveren om, at der foreligger en anmodning fra en administrativ myndighed i et tredjeland om at få adgang til vedkommendes data, inden anmodningen imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.
KAPITEL VIII
INTEROPERABILITET
Artikel 28
Væsentlige krav vedrørende interoperabilitet
1.Operatører af dataområder skal opfylde følgende væsentlige krav for at lette dataenes, datadelingsmekanismernes og datadelingstjenesternes interoperabilitet:
(a)datasæts indhold, anvendelsesbegrænsninger, licenser, dataindsamlingsmetoder, datakvalitet og usikkerhed skal beskrives tilstrækkeligt til, at modtageren kan finde, få adgang til og anvende dataene
(b)datastrukturer, dataformater, ordlister, klassifikationsordninger, taksonomier og kodelister skal beskrives på en offentligt tilgængelig og sammenhængende måde
(c)de tekniske midler til at få adgang til dataene, såsom programmeringsgrænseflader for applikationer, og betingelserne for deres anvendelse og tjenestekvalitet skal beskrives tilstrækkeligt til at muliggøre automatisk adgang til og overførsel af data mellem parterne, herunder kontinuerligt eller i realtid i et maskinlæsbart format
(d)midlerne til at muliggøre intelligente kontrakters interoperabilitet inden for deres tjenester og aktiviteter skal stilles til rådighed.
Disse krav kan være generiske eller vedrøre specifikke sektorer, samtidig med at der tages fuldt hensyn til sammenhængen med krav fra anden EU-lovgivning eller national sektorlovgivning.
2.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med henblik på at supplere denne forordning ved yderligere at præcisere de væsentlige krav, der er omhandlet i stk. 1.
3.Operatører af dataområder, som opererer i overensstemmelse med de harmoniserede standarder eller dele heraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de væsentlige krav, der er omhandlet i denne artikels stk. 1, i det omfang disse standarder dækker de pågældende krav.
4.Kommissionen kan i overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 anmode en eller flere europæiske standardiseringsorganisationer om at udarbejde udkast til harmoniserede standarder, der opfylder de væsentlige krav i nærværende artikels stk. 1.
5.Kommissionen vedtager ved hjælp af gennemførelsesretsakter fælles specifikationer for nogle af eller alle kravene i denne artikels stk. 1, alt efter tilfældet, hvis der ikke findes harmoniserede standarder som omhandlet i denne artikels stk. 4, eller hvis den finder, at de relevante harmoniserede standarder er utilstrækkelige til at sikre overensstemmelse med de væsentlige krav i denne artikels stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.
6.Kommissionen kan vedtage retningslinjer, der fastsætter interoperabilitetsspecifikationer for driften af fælles europæiske dataområder, såsom arkitekturer og tekniske standarder til gennemførelse af retsregler og datadelingsfremmende ordninger mellem parter, f.eks. vedrørende adgangsret og teknisk oversættelse af samtykke eller tilladelse.
Artikel 29
Interoperabilitet for databehandlingstjenester
1.Åbne interoperabilitetsspecifikationer og europæiske standarder for interoperabilitet mellem databehandlingstjenester skal:
(a)være resultatorienterede med henblik på at opnå interoperabilitet mellem forskellige databehandlingstjenester, der dækker samme tjenestetype
(b)øge portabiliteten af digitale aktiver mellem forskellige databehandlingstjenester, der dækker samme tjenestetype
(c)hvor det er teknisk muligt, garantere funktionel ækvivalens mellem forskellige databehandlingstjenester, der dækker samme tjenestetype.
2.Åbne interoperabilitetsspecifikationer og europæiske standarder for interoperabilitet mellem databehandlingstjenester skal omhandle:
(a)cloudinteroperabilitetsaspekterne af transportinteroperabilitet, syntaktisk interoperabilitet, semantisk datainteroperabilitet, adfærdsmæssig interoperabilitet og politikinteroperabilitet
(b)clouddataportabilitetsaspekterne af datasyntaktisk portabilitet, datasemantisk portabilitet og datapolitikportabilitet
(c)cloudapplikationsaspekterne af portabilitet for applikationssyntaks, applikationsinstrukser, applikationsmetadata, applikationsadfærd og applikationspolitik.
3.Åbne interoperabilitetsspecifikationer skal være i overensstemmelse med punkt 3 og 4 i bilag II til forordning (EU) nr. 1025/2012.
4.Kommissionen kan i overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 anmode en eller flere europæiske standardiseringsorganisationer om at udarbejde udkast til europæiske standarder for specifikke tjenestetyper, der udbydes af databehandlingstjenester.
5.Med henblik på denne forordnings artikel 26, stk. 3, tillægges Kommissionen beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 38 med henblik på at offentliggøre referencen for åbne interoperabilitetsspecifikationer og europæiske standarder for databehandlingstjenesters interoperabilitet i det centrale EU-standardiseringsregister for databehandlingstjenesters interoperabilitet, hvis disse opfylder kriterierne i nærværende artikels stk. 1 og 2.
Artikel 30
Væsentlige krav vedrørende intelligente kontrakter om datadeling
1.Leverandøren af en applikation, der anvender intelligente kontrakter, eller den person, hvis erhverv, forretning eller profession omfatter indførelse af intelligente kontrakter for andre i forbindelse med en aftale om at stille data til rådighed, skal opfylde følgende væsentlige krav:
(a)robusthed: sikre, at den intelligente kontrakt er udformet med en meget høj grad af robusthed for at undgå funktionsfejl og modstå tredjeparters manipulation
(b)sikker afslutning og afbrydelse: sikre, at der findes en mekanisme, der kan bringe den fortsatte udførelse af transaktioner til ophør: den intelligente kontrakt skal omfatte interne funktioner, som kan nulstille kontrakten eller instruere den om at afslutte eller afbryde sin funktion for at undgå fremtidige (utilsigtede) udførelser
(c)dataarkivering og datakontinuitet: hvis en intelligent kontrakt bliver afsluttet eller deaktiveret, skal det være muligt at arkivere den intelligent kontrakts transaktionsdata, logik og kode for at bevare registreringen af de operationer, der tidligere er udført på dataene (mulighed for revision), og
(d)adgangskontrol: en intelligent kontrakt skal beskyttes med strenge mekanismer til adgangskontrol både på styrings- og kontraktniveau.
2.Leverandøren af en applikation, der anvender intelligente kontrakter, eller den person, hvis erhverv, forretning eller profession omfatter indførelse af intelligente kontrakter for andre i forbindelse med en aftale om at stille data til rådighed, skal foretage en overensstemmelsesvurdering med henblik på at opfylde de væsentlige krav i stk. 1 og, når kravene er opfyldt, udstede en EU-overensstemmelseserklæring.
3.Leverandøren af en applikation, der anvender intelligente kontrakter, eller den person, hvis erhverv, forretning eller profession omfatter indførelse af intelligente kontrakter for andre i forbindelse med en aftale om at stille data til rådighed, er ved at udarbejde en EU-overensstemmelseserklæring ansvarlig for overholdelsen af kravene i stk. 1.
4.En intelligent kontrakt, der er i overensstemmelse med de harmoniserede standarder eller de relevante dele heraf, der er udarbejdet og offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de væsentlige krav i denne artikels stk. 1, i det omfang disse standarder dækker de pågældende krav.
5.Kommissionen kan i overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 anmode en eller flere europæiske standardiseringsorganisationer om at udarbejde udkast til harmoniserede standarder, der opfylder de væsentlige krav i nærværende artikels stk. 1.
6.Kommissionen kan ved hjælp af gennemførelsesretsakter vedtage fælles specifikationer for så vidt angår de væsentlige krav i denne artikels stk. 1, hvis der ikke findes harmoniserede standarder som omhandlet i denne artikels stk. 4, eller hvis den finder, at de relevante harmoniserede standarder er utilstrækkelige til at sikre overensstemmelse med de væsentlige krav i denne artikels stk. 1 i en grænseoverskridende sammenhæng. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 39, stk. 2.
KAPITEL IX
GENNEMFØRELSE OG HÅNDHÆVELSE
Artikel 31
Kompetente myndigheder
1.Hver medlemsstat udpeger én eller flere kompetente myndigheder, som har ansvaret for anvendelsen og håndhævelsen af denne forordning. Medlemsstaterne kan oprette en eller flere nye myndigheder eller forlade sig på eksisterende myndigheder.
2.Uden at det berører denne artikels stk. 1:
(a)er de uafhængige tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med anvendelsen af forordning (EU) 2016/679, ansvarlige for at overvåge anvendelsen af denne forordning for så vidt angår beskyttelsen af personoplysninger. Kapitel VI og VII i forordning (EU) 2016/679 finder tilsvarende anvendelse. Tilsynsmyndighedernes opgaver og beføjelser udøves i forbindelse med behandling af personoplysninger
(b)skal sektormyndighedernes kompetence i forbindelse med specifikke sektorbestemte spørgsmål vedrørende dataudveksling i forbindelse med gennemførelsen af denne forordning respekteres
(c)skal den nationale kompetente myndighed, der er ansvarlig for anvendelsen og håndhævelsen af kapitel VI i denne forordning, have erfaring inden for områderne data og elektroniske kommunikationstjenester.
3.Medlemsstaterne sikrer, at de respektive opgaver og beføjelser for de kompetente myndigheder, der er udpeget i henhold til denne artikels stk. 1, er klart definerede og omfatter at:
(a)fremme bevidstheden blandt brugere og enheder, der er omfattet af denne forordnings anvendelsesområde, om rettigheder og forpligtelser i henhold til denne forordning
(b)behandle klager over påståede overtrædelser af denne forordning, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden kompetent myndighed er nødvendig
(c)gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden kompetent myndighed eller en anden offentlig myndighed
(d)ved hjælp af administrative procedurer pålægge økonomiske sanktioner med afskrækkende virkning, som kan omfatte periodiske sanktioner og sanktioner med tilbagevirkende kraft, eller indlede retsforfølgning med henblik på at pålægge bøder
(e)overvåge den teknologiske udvikling af relevans for tilgængeliggørelsen og anvendelsen af data
(f)samarbejde med andre medlemsstaters kompetente myndigheder for at sikre ensartet anvendelse af denne forordning, herunder udveksling af alle relevante oplysninger ad elektronisk vej, uden unødigt ophold
(g)sikre offentlig onlineadgang til offentlige myndigheders anmodninger om adgang til data tilfælde af offentlige nødsituationer i henhold til kapitel V
(h)samarbejde med alle relevante kompetente myndigheder for at sikre, at forpligtelserne i kapitel VI håndhæves i overensstemmelse med anden EU-lovgivning og selvregulering, der gælder for udbydere af databehandlingstjenester
(i)sikre, at gebyrer for skift mellem udbydere af databehandlingstjenester udfases i overensstemmelse med artikel 25.
4.Hvis en medlemsstat udpeger mere end én kompetent myndighed, samarbejder de kompetente myndigheder med hinanden under udøvelsen af de opgaver og beføjelser, de er tillagt i henhold til denne artikels stk. 3, herunder om nødvendigt med den tilsynsmyndighed, der er ansvarlig for at overvåge anvendelsen af forordning (EU) 2016/679, for at sikre en konsekvent anvendelse af denne forordning. I sådanne tilfælde udpeger de pågældende medlemsstater en koordinerende kompetent myndighed.
5.Medlemsstaterne meddeler Kommissionen navnet på de udpegede kompetente myndigheder og deres respektive opgaver og beføjelser og, hvor det er relevant, navnet på den koordinerende kompetente myndighed. Kommissionen fører en offentligt tilgængelig liste over disse myndigheder.
6.De kompetente myndigheder skal i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til denne forordning være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra nogen anden offentlig myndighed eller nogen privat part.
7.Medlemsstaterne sikrer, at de udpegede kompetente myndigheder har de nødvendige ressourcer til at udføre deres opgaver på passende vis i henhold til med denne forordning.
Artikel 32
Ret til at indgive klage til en kompetent myndighed
1.Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har fysiske og juridiske personer ret til at indgive klage individuelt eller, hvor det er relevant, kollektivt til den relevante kompetente myndighed i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted, arbejdssted eller forretningssted, hvis personen mener, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket.
2.Den kompetente myndighed, som klagen er indgivet til, underretter klageren om forløbet af sagen og om den trufne afgørelse.
3.De kompetente myndigheder samarbejder om at behandle og løse klager, herunder ved at udveksle alle relevante oplysninger ad elektronisk vej, uden unødigt ophold. Dette samarbejde berører ikke den specifikke samarbejdsmekanisme, der er fastsat i kapitel VI og VII i forordning (EU) 2016/679.
Artikel 33
Sanktioner
1.Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
2.Medlemsstaterne giver inden den [dato for forordningens ikrafttrædelse] Kommissionen meddelelse om disse regler og foranstaltninger, og underretter den straks om alle senere ændringer, der berører dem.
3.For så vidt angår tilsidesættelser af de forpligtelser, der er fastsat i denne forordnings kapitel II, III og V, kan de tilsynsmyndigheder, der er omhandlet i artikel 51 i forordning (EU) 2016/679, inden for rammerne af deres beføjelser pålægge administrative bøder i overensstemmelse med artikel 83 i forordning (EU) 2016/679 og op til det beløb, der er omhandlet i artikel 83, stk. 5, i nævnte forordning.
4.For så vidt angår overtrædelser af de forpligtelser, der er fastsat i denne forordnings kapitel V, kan den tilsynsmyndighed, der er omhandlet i artikel 52 i forordning (EU) 2018/1725, inden for rammerne af sine beføjelser pålægge administrative bøder i overensstemmelse med artikel 66 i forordning (EU) 2018/1725 og op til det beløb, der er omhandlet i artikel 66, stk. 3, i nævnte forordning.
Artikel 34
Model for aftalevilkår
Kommissionen udvikler og anbefaler brugen af en ikkebindende model for aftalevilkår for dataadgang og -anvendelse for at bistå parterne med at udarbejde og forhandle kontrakter med afbalancerede kontraktlige rettigheder og forpligtelser.
KAPITEL X
SUI GENERIS-RETTEN I HENHOLD TIL DIREKTIV 1996/9/EF
Artikel 35
Databaser med visse datasæt
For ikke at hindre udøvelsen af brugernes ret til adgang til og brug af sådanne data i overensstemmelse med denne forordnings artikel 4 eller af retten til at dele sådanne data med tredjeparter, jf. denne forordnings artikel 5, finder sui generis-retten som omhandlet i artikel 7 i direktiv 96/9/EF ikke anvendelse på databaser, der indeholder data, der er indhentet fra eller genereret ved brug af et produkt eller en relateret tjeneste.
KAPITEL XI
AFSLUTTENDE BESTEMMELSER
Artikel 36
Ændring af forordning (EU) 2017/2394
I bilaget til forordning (EU) 2017/2394 tilføjes følgende punkt:
"29. [Europa-Parlamentets og Rådets forordning (EU) XXX af ... ... [dataforordningen]]."
Artikel 37
Ændring af direktiv (EU) 2020/1828
I bilaget til direktiv (EU) 2020/1828 tilføjes følgende punkt:
"67. [Europa-Parlamentets og Rådets forordning (EU) XXX af ... ... [dataforordningen]]."
Artikel 38
Udøvelse af de delegerede beføjelser
1.Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.
2.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 25, stk. 4, artikel 28, stk. 2 og artikel 29, stk. 5, tillægges Kommissionen for en ubegrænset periode fra den [...].
3.Den i artikel 25, stk. 4, artikel 28, stk. 2 og artikel 29, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.
4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016.
5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.
6.En delegeret retsakt vedtaget i henhold til artikel 25, stk. 4, artikel 28, stk. 2 og artikel 29, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.
Artikel 39
Udvalgsprocedure
1.Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.
2.Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.
Artikel 40
Andre EU-retsakter, hvorved rettigheder og forpligtelser vedrørende adgang til og anvendelse af data reguleres
1.De specifikke forpligtelser vedrørende tilgængeliggørelse af data mellem virksomheder, mellem virksomheder og forbrugere og undtagelsesvis mellem virksomheder og offentlige organer, der er fastlagt i EU-retsakter, der trådte i kraft senest den [xx XXX xxx], og delegerede retsakter eller gennemførelsesretsakter, der er baseret herpå, berøres ikke.
2.Denne forordning berører ikke EU-lovgivning, der i lyset af behov i en sektor, et fælles europæisk dataområde eller på et område af offentlig interesse fastsætter yderligere krav, navnlig i forbindelse med:
(a)de tekniske aspekter af adgang til data
(b)begrænsninger af dataindehavernes ret til at få adgang til eller anvende visse data leveret af brugere
(c)aspekter, der rækker ud over adgang til og anvendelse af data.
Artikel 41
Evaluering og revision
Senest [to år efter forordningens anvendelsesdato] evaluerer Kommissionen nærværende forordning og fremlægger en rapport om de vigtigste resultater for Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg. Ved evalueringen vurderes navnlig følgende:
(a)om andre kategorier eller typer af data bør gøres tilgængelige
(b)om visse kategorier af virksomheder bør udelukkes som berettigede i henhold til artikel 5
(c)om andre situationer bør betragtes som medførende ekstraordinære behov med henblik på artikel 15
(d)om databehandlingspraksis hos udbydere af databehandlingstjenester bør ændres, og hvorvidt dette vil resultere i tilstrækkelig overensstemmelse med artikel 24
(e)om de gebyrer, som udbydere af databehandlingstjenester pålægger for flytningsprocessen, bør nedsættes i overensstemmelse med den gradvise fjernelse af gebyrer for skift i henhold til artikel 25.
Artikel 42
Ikrafttræden og anvendelse
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse fra den [12 måneder efter denne forordnings ikrafttrædelse].
Udfærdiget i Bruxelles, den […].
På Europa-Parlamentets vegne
På Rådets vegne
Formand
Formand